2017.12.20

굵직굵직한 사건으로 알아보는 미라이 봇넷

Tamlin Magee | Computerworld UK

2016년 중반에 발견된 미라이 봇넷은 이제 웹에서 가장 강력한 보안 위협 중 하나가 됐다.

2016년 중반에 발견된 지 불과 몇 개월 만에 인터넷에서 가장 인기 있는 웹 사이트를 많이 없애는 등 미라이 봇넷의 등장은 빠르면서도 극적이었다. 미라이는 DVR과 IP 카메라 같은 안전하지 않은 사물인터넷(IoT) 기기까지도 감염시킨다는 데서 다른 봇넷과 구분된다. 게다가 미라이는 꾸준하고 중대한 기록적인 공격을 시작할 만큼 커질 때까지 크게 주목받지 않으면서 강력해졌다.

굵직굵직한 사건을 통해 미라이가 현재까지 어떻게 진화했는지, 누가 참여했으며, 희생자가 누구인지를 알아보자.

1. 2017년 12월 : 미라이 봇넷 용의자, 죄책감을 느끼다


두 사람이 사물인터넷 미라이 봇넷을 개발하고 배포하는 일에 자신들이 가담했음을 인정했다.

크렙스온시큐리티(KrebsOnSecurity)는 올 1월 파라스 자(21세)와 조시아 화이트(20세)를 악성코드 범인으로 지목했다. 아이러니하게도 이들은 대규모 디도스 공격에 대비한 완화 조치를 제공하는 회사를 운영했다.

또한 이들은 미라이를 사용하여 온라인 클릭 사기를 저지른 혐의를 시인했고, 약 18만 달러어치의 비트코인을 보유하고 있음을 인정했다.

법원의 문서에 따르면, 제 3자인 댈튼 노만(21세)은 클릭 사기로 자신의 소득을 창출하기 위해 봇넷을 임대했다. 노만은 조시아 화이트가 IoT 기기에서 새로운 악성코드를 발견해 악성코드를 확산시키는 데 도움을 준다고 말했다.

미라이는 IP 카메라 같은 IoT 기기의 결함을 악용하여 최고 30만 개의 기록 장치를 구성했으며, 인터넷의 많은 부분을 오프라인으로 부팅했다.

2. 2017년 2월 : 도이체텔레콤 공격 혐의로 체포된 영국 남자


국가 범죄기구(National Crime Agency)는 도이체텔레콤 미라이 공격 혐의로 루턴 공항에서 29세의 남성을 체포했다. 독일의 연방 형사 경찰은 범죄를 폭넓은 인프라에 대한 위협으로 간주했다.

3. 2017년 2월 : 미라이 변종이 윈도우로 전환


카스퍼스키랩 연구원은 중국어를 사용하는 해커가 윈도우 운영체제를 기반으로 미라이 변종 버전을 만들었다고 밝혔다. 이 회사는 운영체제에 퍼져있는 능력이 제한되어 있다고 지적했다. 카스퍼스키랩 연구원에 따르면, 감염된 윈도우 호스트에서 취약한 리눅스 IoT 기기로 미라이 봇넷을 보내기는 원격 텔넷 연결을 성공적으로 무력화할 수 있다면 가능하다.

그러나 이는 미라이 위협이 새롭고 예상치 못한 방식으로 전개될 것이라는 신호였다.

이 봇넷은 중국 시스템에서 코딩되고 컴파일되었으며, 카스퍼스키는 상하이에 있는 실리콘 및 웨이퍼 제조사인 시안징테크 일렉트로닉 테크놀로지 앤드 파트너 테크(Xi'an JingTech electronic Technology and Partner Tech)의 코드 서명 인증서로 서명했다.

4. 2017년 1월 : 브라이언 크렙스, 미라이 개발자의 신원을 안다고 밝히다


독자적으로 활동하며 사이트를 운영하는 보안 연구원인 브라이언 크렙스는 자신의 사이트가 처음으로 미라이 공격을 받았으며 수백 시간을 연구한 결과 디도스 공격 완화 회사 소유자에게 애나-센파이(Anna-Senpai)와 파라스 자 간의 유사성이 있다고 주장했다.

5. 2016년 12월 : 미라이 공격받은 영국 ISP 톡톡과 체신부


영국 ISP인 톡톡(TalkTalk)이 자사 D링크 DSL-3780 라우터를 사용하는 고객이 미라이의 표적이 되었다고 보도했다. 영국 체신부는 미라이 공격으로 고객이 광대역에 접속하지 못하고 나가 버렸다고 전했다.
 


6. 2016년 11월 : 판매 중인 미라이 봇넷


스스로 베스트바이(BestBuy)와 포포프렛(Popopret)이라고 밝힌 두 명의 해커가 40만 개 봇의 미라이 봇넷을 빌려준다는 광고를 시작했다. 베스트바이는 언론에 도이치 텔레콤 정전의 배후에 있는 두 명의 마더보드에 관해 사과했다. 베스트바이는 "우리의 의도가 아니었다"고 말했다.

구매자는 2만 개의 손상된 노드를 2,000달러에 빌려 2주 동안 1시간의 공격을 시작할 수 있다. 2만 달러면 최대 700,000bps의 트래픽에 도달할 수 있는 60만 개의 봇을 활용할 수 있다.

 




2017.12.20

굵직굵직한 사건으로 알아보는 미라이 봇넷

Tamlin Magee | Computerworld UK

2016년 중반에 발견된 미라이 봇넷은 이제 웹에서 가장 강력한 보안 위협 중 하나가 됐다.

2016년 중반에 발견된 지 불과 몇 개월 만에 인터넷에서 가장 인기 있는 웹 사이트를 많이 없애는 등 미라이 봇넷의 등장은 빠르면서도 극적이었다. 미라이는 DVR과 IP 카메라 같은 안전하지 않은 사물인터넷(IoT) 기기까지도 감염시킨다는 데서 다른 봇넷과 구분된다. 게다가 미라이는 꾸준하고 중대한 기록적인 공격을 시작할 만큼 커질 때까지 크게 주목받지 않으면서 강력해졌다.

굵직굵직한 사건을 통해 미라이가 현재까지 어떻게 진화했는지, 누가 참여했으며, 희생자가 누구인지를 알아보자.

1. 2017년 12월 : 미라이 봇넷 용의자, 죄책감을 느끼다


두 사람이 사물인터넷 미라이 봇넷을 개발하고 배포하는 일에 자신들이 가담했음을 인정했다.

크렙스온시큐리티(KrebsOnSecurity)는 올 1월 파라스 자(21세)와 조시아 화이트(20세)를 악성코드 범인으로 지목했다. 아이러니하게도 이들은 대규모 디도스 공격에 대비한 완화 조치를 제공하는 회사를 운영했다.

또한 이들은 미라이를 사용하여 온라인 클릭 사기를 저지른 혐의를 시인했고, 약 18만 달러어치의 비트코인을 보유하고 있음을 인정했다.

법원의 문서에 따르면, 제 3자인 댈튼 노만(21세)은 클릭 사기로 자신의 소득을 창출하기 위해 봇넷을 임대했다. 노만은 조시아 화이트가 IoT 기기에서 새로운 악성코드를 발견해 악성코드를 확산시키는 데 도움을 준다고 말했다.

미라이는 IP 카메라 같은 IoT 기기의 결함을 악용하여 최고 30만 개의 기록 장치를 구성했으며, 인터넷의 많은 부분을 오프라인으로 부팅했다.

2. 2017년 2월 : 도이체텔레콤 공격 혐의로 체포된 영국 남자


국가 범죄기구(National Crime Agency)는 도이체텔레콤 미라이 공격 혐의로 루턴 공항에서 29세의 남성을 체포했다. 독일의 연방 형사 경찰은 범죄를 폭넓은 인프라에 대한 위협으로 간주했다.

3. 2017년 2월 : 미라이 변종이 윈도우로 전환


카스퍼스키랩 연구원은 중국어를 사용하는 해커가 윈도우 운영체제를 기반으로 미라이 변종 버전을 만들었다고 밝혔다. 이 회사는 운영체제에 퍼져있는 능력이 제한되어 있다고 지적했다. 카스퍼스키랩 연구원에 따르면, 감염된 윈도우 호스트에서 취약한 리눅스 IoT 기기로 미라이 봇넷을 보내기는 원격 텔넷 연결을 성공적으로 무력화할 수 있다면 가능하다.

그러나 이는 미라이 위협이 새롭고 예상치 못한 방식으로 전개될 것이라는 신호였다.

이 봇넷은 중국 시스템에서 코딩되고 컴파일되었으며, 카스퍼스키는 상하이에 있는 실리콘 및 웨이퍼 제조사인 시안징테크 일렉트로닉 테크놀로지 앤드 파트너 테크(Xi'an JingTech electronic Technology and Partner Tech)의 코드 서명 인증서로 서명했다.

4. 2017년 1월 : 브라이언 크렙스, 미라이 개발자의 신원을 안다고 밝히다


독자적으로 활동하며 사이트를 운영하는 보안 연구원인 브라이언 크렙스는 자신의 사이트가 처음으로 미라이 공격을 받았으며 수백 시간을 연구한 결과 디도스 공격 완화 회사 소유자에게 애나-센파이(Anna-Senpai)와 파라스 자 간의 유사성이 있다고 주장했다.

5. 2016년 12월 : 미라이 공격받은 영국 ISP 톡톡과 체신부


영국 ISP인 톡톡(TalkTalk)이 자사 D링크 DSL-3780 라우터를 사용하는 고객이 미라이의 표적이 되었다고 보도했다. 영국 체신부는 미라이 공격으로 고객이 광대역에 접속하지 못하고 나가 버렸다고 전했다.
 


6. 2016년 11월 : 판매 중인 미라이 봇넷


스스로 베스트바이(BestBuy)와 포포프렛(Popopret)이라고 밝힌 두 명의 해커가 40만 개 봇의 미라이 봇넷을 빌려준다는 광고를 시작했다. 베스트바이는 언론에 도이치 텔레콤 정전의 배후에 있는 두 명의 마더보드에 관해 사과했다. 베스트바이는 "우리의 의도가 아니었다"고 말했다.

구매자는 2만 개의 손상된 노드를 2,000달러에 빌려 2주 동안 1시간의 공격을 시작할 수 있다. 2만 달러면 최대 700,000bps의 트래픽에 도달할 수 있는 60만 개의 봇을 활용할 수 있다.

 


X