대규모 Coinhive 크립토재킹 캠페인, MikroTik 라우터 20만대 이상 공격 해

Massive Coinhive Cryptojacking Campaign Touches Over 200,000 MikroTik Routers

보안 연구원들이 대규모 크립토재킹 캠페인을 발견했습니다. 이는 사용자의 웹 트래픽 일부분에 브라우저 내 가상화폐 마이닝 스크립트인 Coinhive를 주입하기 위해 MikroTik 라우터의 구성을 변경합니다.

이 캠페인은 이번 주 시작 된 것으로 보이며, 처음에는 대부분 브라질에서 활동 했지만 나중에는 전 세계의 MikroTik 라우터들을 노렸습니다.

Trustwave의 보고서에 따르면, 이 캠페인의 배후에 있는 해커는 공격 초반에 약 72,000대의 MikroTik 라우터를 손상시켰습니다.

연구원들은 이 해커가 지난 4월 발견 된 MikroTik 라우터의 Winbox 컴포넌트에 존재하는 제로데이를 사용했다고 밝혔습니다. MikroTik은 이 제로데이를 하루 만에 패치했지만, 모든 라우터 사용자들이 이 패치를 적용하지는 않았을 것입니다.

이후 여러 연구원들이 이 제로데이를 분석했으며, 공개 PoC 코드가 GitHub[1, 2]에 공개 되었습니다. 

해커들, 2018년 4월의 MikroTik 제로데이 사용

공격자들은 이 PoC들 중 하나를 사용해 MikroTik 라우터를 통과하는 트래픽을 변경하고 라우터를 통해 제공 되는 모든 페이지에 Coinhive 라이브러리의 복사본을 주입했습니다.

지난 주 주입 된 모든 Coinhive가 동일한 Coinhive 키 하나를 사용했기 때문에, 이 결점을 악용하는 공격자는 하나인 것으로 추측 됩니다.

게다가, 연구원들은 MikroTik이 아닌 다른 라우터 사용자들도 영향을 받은 사례를 발견 했다고 밝혔습니다. 이는 브라질의 일부 ISP들이 메인 네트워크에 MikroTik 라우터를 사용했기 때문에, 공격자가 대량의 웹 트래픽에 악성 Coinhive 코드를 주입할 수 있었던 것으로 보입니다.

또한 연구원들은 이 공격의 수행 방식 때문에 주입이 사용자에게로 향하는 트래픽에만 동작한 것이 아니라 양쪽 모두에서 동작했다고 밝혔습니다. 예를 들면, 한 웹사이트가 영향을 받는 MikroTik 라우터 뒤쪽의 로컬 네트워크에서 호스팅 될 경우 해당 웹사이트로 향하는 트래픽 또한 Coinhive 라이브러리가 삽입 된다는 것입니다.

조심스럽게 행동한 해커들, 작전 규모 축소 시켜

너무 많은 트래픽에 Coinhive를 주입할 경우 매우 시끄럽고 사용자의 짜증을 유발해 사용자들과 ISP 측에서 문제의 원인을 조사하려 할 수 있습니다. 실제로 한 Reddit 사용자는 문제를 발견해 이를 공개했습니다.

공격자는 이러한 문제 해결을 위해 최근 공격에서부터는 라우터에서 리턴 되는 에러 페이지에만 Coinhive 스크립트를 주입했습니다.

하지만 공격의 표면을 축소시키는 것이 공격 전체를 축소시키는 것은 아니었습니다. 연구원들은 이 공격이 브라질 외부로 확산되기 시작해 초기 감염 숫자의 2배 이상인 17만대 이상의 MikroTik 라우터를 감염 시켰다고 밝혔습니다.

“이 공격이 얼마나 극심한지 강조해보겠습니다. 전 세계에 이러한 장비들 수 십만대가 있습니다.이는 ISP, 조직 및 기업들에서 사용 되며 각 장비는 매일 최소 10명 ~ 수 백명의 사용자들을 지원합니다.”

“공격자들은 방문자가 적은 소규모 사이트를 감염시키거나 최종 사용자 컴퓨터에서 악성 코드를 실행할 정교한 방법을 찾는 대신, 통신사급 라우터 기기를 직접적으로 노렸습니다.”

“이 공격이 에러를 리턴하는 페이지에서만 동작한다 해도, 공격자 입장에서는 잠재적으로 하루에 수 백만 건이 될 수 있습니다.”

공격 규모는 더욱 성장할 가능성 있어

Shodan IoT 검색 엔진의 쿼리를 통해 확인 결과, 온라인에는 170만개 이상의 MikroTik 라우터들이 존재하는 것으로 나타났습니다.

UPDATE: 보안 연구원인 TroyMursch는 Bleeping Computer 측에 MikroTik 라우터에 주입 되고 있는 두 번째 Coinhive 키를 발견했다고 밝혔습니다. 이 캠페인은 25,000대 이상의 라우터를 감염시켜 총 20만대 이상의 라우터가 공격을 받았습니다. 두 번째 캠페인은 첫 번째 캠페인과 전혀 다른 공격자가 운영 중인지, 아니면 동일한 공격자가 Trustwave의 보고서 이후 새로운 키로 변경했는지 여부는 확인 되지 않았습니다.

출처 :

https://www.bleepingcomputer.com/news/security/massive-coinhive-cryptojacking-campaign-touches-over-200-000-mikrotik-routers/

https://www.trustwave.com/Resources/SpiderLabs-Blog/Mass-MikroTik-Router-Infection-%E2%80%93-First-we-cryptojack-Brazil,-then-we-take-the-World-/