굵직굵직한 사건으로 알아보는 미라이 봇넷

2016년 중반에 발견된 지 불과 몇 개월 만에 인터넷에서 가장 인기 있는 웹 사이트를 많이 없애는 등 미라이 봇넷의 등장은 빠르면서도 극적이었다. 미라이는 DVR과 IP 카메라 같은 안전하지 않은 사물인터넷(IoT) 기기까지도 감염시킨다는 데서 다른 봇넷과 구분된다. 게다가 미라이는 꾸준하고 중대한 기록적인 공격을 시작할 만큼 커질 때까지 크게 주목받지 않으면서 강력해졌다.

굵직굵직한 사건을 통해 미라이가 현재까지 어떻게 진화했는지, 누가 참여했으며, 희생자가 누구인지를 알아보자.

1. 2017년 12월 : 미라이 봇넷 용의자, 죄책감을 느끼다


두 사람이 사물인터넷 미라이 봇넷을 개발하고 배포하는 일에 자신들이 가담했음을 인정했다.

크렙스온시큐리티(KrebsOnSecurity)는 올 1월 파라스 자(21세)와 조시아 화이트(20세)를 악성코드 범인으로 지목했다. 아이러니하게도 이들은 대규모 디도스 공격에 대비한 완화 조치를 제공하는 회사를 운영했다.

또한 이들은 미라이를 사용하여 온라인 클릭 사기를 저지른 혐의를 시인했고, 약 18만 달러어치의 비트코인을 보유하고 있음을 인정했다.

법원의 문서에 따르면, 제 3자인 댈튼 노만(21세)은 클릭 사기로 자신의 소득을 창출하기 위해 봇넷을 임대했다. 노만은 조시아 화이트가 IoT 기기에서 새로운 악성코드를 발견해 악성코드를 확산시키는 데 도움을 준다고 말했다.

미라이는 IP 카메라 같은 IoT 기기의 결함을 악용하여 최고 30만 개의 기록 장치를 구성했으며, 인터넷의 많은 부분을 오프라인으로 부팅했다.

2. 2017년 2월 : 도이체텔레콤 공격 혐의로 체포된 영국 남자


국가 범죄기구(National Crime Agency)는 도이체텔레콤 미라이 공격 혐의로 루턴 공항에서 29세의 남성을 체포했다. 독일의 연방 형사 경찰은 범죄를 폭넓은 인프라에 대한 위협으로 간주했다.

3. 2017년 2월 : 미라이 변종이 윈도우로 전환


카스퍼스키랩 연구원은 중국어를 사용하는 해커가 윈도우 운영체제를 기반으로 미라이 변종 버전을 만들었다고 밝혔다. 이 회사는 운영체제에 퍼져있는 능력이 제한되어 있다고 지적했다. 카스퍼스키랩 연구원에 따르면, 감염된 윈도우 호스트에서 취약한 리눅스 IoT 기기로 미라이 봇넷을 보내기는 원격 텔넷 연결을 성공적으로 무력화할 수 있다면 가능하다.

그러나 이는 미라이 위협이 새롭고 예상치 못한 방식으로 전개될 것이라는 신호였다.

이 봇넷은 중국 시스템에서 코딩되고 컴파일되었으며, 카스퍼스키는 상하이에 있는 실리콘 및 웨이퍼 제조사인 시안징테크 일렉트로닉 테크놀로지 앤드 파트너 테크(Xi’an JingTech electronic Technology and Partner Tech)의 코드 서명 인증서로 서명했다.

4. 2017년 1월 : 브라이언 크렙스, 미라이 개발자의 신원을 안다고 밝히다


독자적으로 활동하며 사이트를 운영하는 보안 연구원인 브라이언 크렙스는 자신의 사이트가 처음으로 미라이 공격을 받았으며 수백 시간을 연구한 결과 디도스 공격 완화 회사 소유자에게 애나-센파이(Anna-Senpai)와 파라스 자 간의 유사성이 있다고 주장했다.

5. 2016년 12월 : 미라이 공격받은 영국 ISP 톡톡과 체신부


영국 ISP인 톡톡(TalkTalk)이 자사 D링크 DSL-3780 라우터를 사용하는 고객이 미라이의 표적이 되었다고 보도했다. 영국 체신부는 미라이 공격으로 고객이 광대역에 접속하지 못하고 나가 버렸다고 전했다.
 

6. 2016년 11월 : 판매 중인 미라이 봇넷

스스로 베스트바이(BestBuy)와 포포프렛(Popopret)이라고 밝힌 두 명의 해커가 40만 개 봇의 미라이 봇넷을 빌려준다는 광고를 시작했다. 베스트바이는 언론에 도이치 텔레콤 정전의 배후에 있는 두 명의 마더보드에 관해 사과했다. 베스트바이는 “우리의 의도가 아니었다”고 말했다.

구매자는 2만 개의 손상된 노드를 2,000달러에 빌려 2주 동안 1시간의 공격을 시작할 수 있다. 2만 달러면 최대 700,000bps의 트래픽에 도달할 수 있는 60만 개의 봇을 활용할 수 있다.

7. 2016년 11월 : 미라이 때문에 웹 접근 차단된 독일인은 약 백만 명

약 이틀 동안 OEM 제조사인 직셀(Zyxel)과 스피드포트(Speedport)가 만든 라우터에서 보안 구멍을 악용하는 미라이 실행 코드 업데이트가 약 100만 명의 도이치텔레콤 고객의 웹 접근을 막았다.

ICS SANS의 연구원은 “지난 며칠 동안 포트 7547에 대한 공격이 많이 증가했다. 이러한 스캔은 널리 사용되는 DSL 라우터의 취약점을 악용한 것으로 보인다. 이것은 이미 독일 ISP인 도이치텔레콤에 심각한 문제를 야기했을 수 있으며 다른 사람들에게도 영향을 미칠 수 있다”고 분석했다.

8. 2016년 11월 : 라이베리아를 오프라인으로 만든 미라이

미라이 디도스는 11월 중 일주일 내내 라이베리아 웹 사이트의 많은 부분을 오프라인으로 만들었다. 보안 연구원인 케빈 뷰몬트는 당시 “지난주 우리는 라이베리아 국가에서 인프라에 대한 지속적인 짧은 공격을 보았다. 라이베리아는 2011년에 설치된 인터넷 케이블 1개를 가지고 있어 인터넷에 장애가 발생할 수 있다”고 밝혔다.

뷰몬트는 “모니터링 결과 우리는 국가에서 호스팅하는 웹 사이트가 공격 중에 오프라인 상태가 될 수 있음을 알 수 있다. 또한 통신사의 국가 출처가 공격에 직접 부합하는 간헐적인 인터넷 연결을 보고 있음을 확인했다”고 전했다.

이어서 “국가 시스템에 심각한 영향을 줄 만큼 힘이 있다고 미라이 사업자를 부추기기 때문에 이 공격은 매우 걱정스럽다”고 덧붙였다.

9. 2016년 10월 : 미라이 때문에 오프라인 된 ‘스포티파이, 레드잇, 트위터’

트위터, 스포티파이, 레드잇 등 기타 유명 웹 사이트의 핵심 인터넷 서비스 제공 업체인 딘(Dyn)은 미국 동부해안 DNS 인프라에 막대한 디도스 공격을 받았다. 디도스로 사이트가 느려지거나 전혀 작동하지 않게 되었다.

10. 2016년 10월 : 알려진 미라이 감염 봇, 2배 이상 증가
미국 콜로라도에 있는 레벨 3 커뮤니케이션즈는 손상된 IoT 기기와 통신하는 커맨드 앤드 컨트롤(C2) 서버를 조사한 결과 소스 코드가 공개된 이후 21만 3,000개에서 49만 3,000개로 증가했다고 추산했다.

레벨 3는 “C2와 커뮤니케이션 해 봇을 식별할 수 있었다. 일단 새로운 봇이 식별되면 공통 커뮤니케이션이 새로운 C2로 이어져 더 많은 봇으로 이어진다”고 전했다.

11. 2016년 10월 : 미라이 소스 코드 공개

자신을 애나-센파이라고 밝힌 익명의 회원이 핵포럼(Hackforums) 메시지 보드에서 크렙스 공격의 범위로 인해 ISP가 ‘행동을 정리’하게 만들었으며 “최대 끌어당기는 수는 약 300k 봇으로 떨어졌다”고 말했다. 그래서 사용자가 누구나 무료로 접근할 수 있는 오픈소스로 코드를 작성했다.

12. 2016년 9월 : 미라이 공격받은 OVH
프랑스 클라우드 및 웹 호스팅 회사인 OVH의 CTO인 오타브 클라바는 고객 웹 사이트 중 일부에 거대한 디도스 공격 신고가 들어왔다고 밝혔다. 클라바는 공격이 145,607개의 개별 기기에서 이뤄졌으며 OVH에서 초당 1.5테라바이트 이상의 디도스를 보내는 것으로 나타났다. 웹 IP 카메라를 주로 사용했지만 OVH는 라우터, NAS 박스, DVR, 라스베리 파이의 트래픽도 감지했다.

OVH는 블로그 게시물에서 “이들 모든 연결 기기는 공통으로 결함이 있는 소프트웨어 설계 또는 제조사의 중과실로 보안 취약성이 생겨났다”고 전했다.

13. 2016년 9월 : 기록적인 디도스로 타격 입은 크렙스온시큐리티
독자적으로 활동하는 보안 연구원인 브라이언 크렙스는 9월에 자신의 웹 사이트에서 디도스를 지목하면서 초당 620기가비트로 놀랐다고 전했다. 그의 웹 사이트에 보안 서비스를 제공하는 아카마이에 따르면, 이 공격은 해킹당한 장비의 매우 큰 봇넷에 의해 거의 독점적으로 시작된 것으로 나타났다.

아카마이의 마틴 맥케이는 “과거에 보지 못한 기능을 가진 봇넷을 가진 누군가가 있다. 우리는 공격 시스템에서 오는 트래픽을 살펴보았다. 그들은 세계의 한 지역 또는 네트워크의 작은 부분에서 온 것이 아니며 어디에나 있었다”고 말했다.

14. 2016년 8월 : 발견

맬웨어머스트다이(MalwareMustDie)의 수석 보안 연구원인 화이트는 유닉스에서 발견된 ELF 파일 실행 형식에 기반을 둔 새로운 트로이 목마를 발견했다. 그들은 바이너리가 미라이로 불렀음을 알게 됐고 주요 기능은 텔넷 공격을 다른 시스템으로 보냈다는 점을 발견했다. 맬웨어머스트다이는 ELF 리눅스/미라이가 x86 아키텍처를 포함하여 탐지 비율이 매우 낮을 때 경고했다. 탐지가 부족한 이유는 감염된 IoT 기기, 라우터, DVR 또는 웹IP 카메라에서 가져오기가 어려운 샘플이 부족하기 때문이다.

미라이는 인터넷에서 침입하기 쉬운 기기를 검색하고 간단한 암호 목록을 사용하는 방법을 강요한다. 그런 다음 텔넷 원격 네트워크 프로토콜을 통해 취약한 장치를 찾아내어 웹 사이트 또는 서비스를 가리킬 수 있는 막대한 자체 복제 네트워크를 만든다.dl-ciokorea@foundryco.com