2019-11-21 20:56 (목)
미크로틱 라우터, 20만 개 이상 멀웨어에 감염돼 '충격'
상태바
미크로틱 라우터, 20만 개 이상 멀웨어에 감염돼 '충격'
  • 배수연 기자
  • 승인 2018.09.04 15:56
이 기사를 공유합니다

1.jpg
▲미크로틱 라우터가 코인하이브 멀웨어에 감염됐다는 사실이 밝혀졌다(출처=위키미디어 커먼스)
트러스트웨이브 스파이더 랩(Trustwave's SpiderLabs)의 사이버 보안 전문가와 브라질의 멀웨어헌터BR(MalwareHunterBR)에 따르면 미크로틱(MikroTik) 라우터에서 대규모 크립토재킹이 발생했다. 크립토재킹이란 개인 사용자 PC로 암호화폐를 채굴하는 해킹 방식으로, 해커들은 미크로틱 라우터의 구성에 코인하이브(Coinhive) 복사본을 삽입했다. 코하이브는 인브라우저 암호화폐(가상화폐) 채굴 스크립트다.

브라질에서는 거의 7만 2,000개 가량의 미크로틱 라우터가 코인하이브 사이버 공격 초기 단계에 감염됐다. 이 악성 프로그램은 2018년 4월 처음 탐지됐으며 미크로틱 라우터의 윈박스(Winbox) 구성 요소 취약점을 이용했다. 라우터 및 컴퓨터 네트워킹 장비를 제조하는 라트비아 기반 회사인 미크로틱은 적시에 패치를 보급했지만 모든 사용자가 이 패치를 자신이 사용하는 미크로틱 라우터에 설치하지는 않았다. 보안 전문가들의 연구 결과 이 취약점 및 PoC 코드가 깃허브(GitHub)의 다른 위치에서도 드러났다.

PoC 코드 중 하나가 미크로틱 라우터를 통과하는 트래픽을 변경하고 라우터를 통해 제공되는 모든 페이지에 코인하이브 라이브러리 복사본을 제공했다. 사이버 보안 전문가들은 공격의 배후가 해커 단 한 명일 것이라고 말했다. 그 이유는 단 하나의 코인하이브 키가 모든 감염 공격에 사용됐기 때문이다. 브라질에서는 미크로틱의 제품이 아닌 기기도 이 멀웨어의 영향을 받았다.

이 공격은 브라질에서 처음 발견되었으나 곧 국경 너머로 퍼졌으며 전 세계 약 17만 5,000개 가량의 미크로틱 라우터가 영향을 받은 것으로 보인다. 전문가들에 따르면 코인하이브 멀웨어는 이미 2만 5,000개 이상의 추가 라우터에 영향을 미쳤고 이에 따라 영향을 받은 미크로틱 라우터는 약 20만 개로 늘어났다. 추가 공격이 동일한 해커에 의해 실시된 것인지는 확실하지 않다.