IBM 시큐리티 연구원들은 DDoS 공격 뿐 아니라 다른 것도 공격하는 미라이(Mirai)사물인터넷 봇넷 변종을 발견했다.
그동안 DDoS 공격만 수행하는 것으로 알고 있었던 미라이 봇넷 변종이 발견되었다. IBM에 의하면 이 변종은 비트코인 채굴 코드를 인스톨 한다고 한다.
Mirai 봇넷은 작년 9월 20일 미국 보안 전문가 브라이언 크랩스의 웹사이트 DDoS 공격에 사용되면서 세상에 처음 알려졌다. 9월 30일 한 해커 포럼에 소스코드가 공개되었고, 다음 달 DynDNS 라는 미국 호스팅 업체가 대규모 DDoS 공격을 받아 이 회사의 DNS 서비스를 이용하는 트위터, 넷플릭스, 레딧, 깃허브 등등 유명 서비스들이 서비스를 제공하지 못하는 초유의 사태가 발생하면서 대대적으로 알려졌다. 미라이는 취약한 사물인터넷 기기 수십만 대를 감염시켜 봇넷으로 만들어 특정 사이트 공격 명령을 내려 대규모 DDoS 공격을 수행한다.
IBM 시큐리티가 발견한 변종은 사이트에 DDoS 공격만 하는 게 아니라 감염된 봇넷 호스트에 비트코인 채굴 코드를 인스톨한다고 한다. 즉 분산화된 비트코인 채굴 작업을 생성하는 것이다. IBM X-Force 보안 연구원들에 의하면 이 변종에 의한 비트코인 채굴 공격은 3월 20일 처음 발생해 3월 25일 피크를 이루었고 3월 27일 소멸했다고 한다. 왜 짧은 기간만 활동했는지 이유는 알아내지 못했지만 그렇다고 해서 앞으로 다시 나타나지 않는다는 보장은 없다고 연구원들은 전했다. 공격 배후는 확인하지 못했지만 소스나 인터페이스로 보건대 중국으로 추정된다고 한다. 공격 활동을 통하여 비트코인을 실제로 채굴했는지는 알아내지 못했지만 사이버 범죄자들은 지속적으로 악성 코드를 수정하고 확장하고 있기 때문에 앞으로 더 많은 변종과 새로운 기능이 등장할 것으로 기대된다고 연구원들은 덧붙였다.
참조: http://www.eweek.com/security/ibm-discovers-mirai-iot-botnet-deploying-bitcoin-mining-payload