8일자로 발표된 보도자료에 따르면 인터폴이 동남아시아 지역에 걸쳐 미크로틱(MikroTik)사의 라우터에 영향을 미치는 '크립토재킹'을 방지하기 위해 사이버 보안 회사 트렌드 마이크로(Trend Micro)와 협력을 해왔다고 한다. 이 협력을 통해 개별 기기에 대한 크립토재킹 사례를 78%나 줄이긴 했으나 그럼에도 채굴 해시레이트에 큰 영향은 미치지 못한 것으로 평가되고 있다.

크립토재킹은 해커들이 암호화페 채굴용 말웨어를 컴퓨터 기기 등에 심어서 피해자의 컴퓨팅 기기를 통해 암호화폐 채굴을 하는 활동을 가리킨다. 사이버 보안 전문회사 트렌드 마이크로는 싱가포르에 본부를 둔 인터폴의 이노베이션 글로벌 컴플렉스와 채굴용 말웨어에 감염된 미크로틱사의  라우터를 복구하는데 상호 협력을 하고 있다.

'골드피쉬 알파 작전'의 일환으로 트렌드 마이크로는 '크립토재킹 경감 및 예방' 가이드 문서를 제작하여 일반적인 가정용 및 기업용 라우터에서 어떤 약점이 ASEAN 지역에 걸쳐 광범위한 크립토재킹 감염을 발생시켰는지를 자세히 설명하고 있다. 또한 이 문서에는 또한 말웨어 감지 제거를 위한 소프트웨어 사용법도 포함되어 있다.

지난 2019년 6월 문서를 발표한 뒤 5개월 동안에 각국의 컴퓨터 비상 대응팀 전문가들은 2만 건에 달하는 라우터 감염 사례를 찾아내서 이 지역에 걸쳐 감염 기기 수에서 78%에 달하는 감지 및 회복률을 기록했다.

해커들이 이를 통해 얼마나 돈을 벌고 있는가?

이러한 약점은 라우터OS를 사용하는 모든 종류의 미크로틱 라우터에 존재하고 있다. 이 라우터는 다양한 ARM 기반 CPU를 포함하며 그 유형에는 싱글코어 600MHz에서 72 코어 1GHz 프로세서에 이르기까지 다양하게 있다.

트렌드 마이크로는 해커들이 감염된 기기들을 통해서 모네로(XMR) 토큰을 채굴 했다고 한다. 모네로는 일반적인 CPU로도 어렵지 않게 채굴이 가능한 몇 안 되는 코인들 중 하나라고 한다. 특히 랜덤X(RandomX) 업그레이드가 있은 후에는 그 공격의 초점이 CPU로 집중됐다고 한다.

어떤 종류의 ARM 프로세서를 사용하는지에 따라 해시레이트 수치는 크게 달라지지만 모네로 커뮤니티에서 제공하는 벤치마크 수치에 따르면 스마트폰에서 흔히 발견되는 일반 ARM 프로세서의 평균 초당 300 해시 정도면 충분하다고 한다.

크립토컴페어(CryptoCompare) 추산에 따르면 2만 건에 달하는 기기 감염 수치와 1월 9일자 네트워크 해시레이트 수치를 기준으로 할 경우 해커들은 라우터 감염을 통해 한 달 평균 1만3000 달러를 벌어들일 수 있다고 한다. 그러나 또 다른 추정에 따르면 2018년 이래로 라우터 감염 건수가 랜덤X 도입 훨씬 전부터 전세계적으로 20만 건에 달한다고 한다. 업그레이드가 이뤄지기 전까지 ARM 프로세서의 해시레이트는 그보다 훨씬 낮아서 초당 10 해시 정도에 불과했다.

채굴 수익성은 지난 2년 사이에 높은 등락폭을 보이고 있지만 크립토재킹 공격을 통한 월간 평균 수입은 다섯 자리 또는 여섯 자리 수 정도로 추산되고 있다.

그러나 그 뒤로부터 시행되고 있는 다양한 하드포크를 통해 채굴 소프트웨어가 제대로 업데이트 되고 있는지에 대해서는 아직도 불분명하다. 말웨어가 2019년 말 현재 아직도 많이 발견되고 있지만 그 수익성은 거래소 해킹을 통해 벌어들이는 수억 달러에 달하는 수입에 비하면 훨씬 낮은 편이다.