의문의 해커 세력, 무료 클라우드 개발 자원 악용한 암호화폐 채굴 수익 탈취 개시

의문의 해커 세력, 무료 클라우드 개발 자원 악용한 암호화폐 채굴 수익 탈취 개시: 김지영 / 2022-10-27 16:57:21

사이버 보안 전문 매체 블리핑컴퓨터가 암호화폐를 채굴할 의도로 깃허브(GitHub), 헤로쿠(Heroku), 버디(Buddy) 등 무료 서비스를 악용한 대규모 자동화 무료 탈취 작전이 발견된 소식을 보도했다.

해당 탈취 작전은 ‘퍼플우친(Purpleurchin)’이라는 이름으로 알려졌으며, 무료 클라우드 계정에 제공하는 한정된 자원에 의존하여 채굴 수익을 기록했다. 공격은 깃허브 계정은 300개, 헤로쿠 계정은 2,000개, 버디 계정은 900개 등 CI/CD 서비스 공급사를 이용하여 매일 100만 건이 넘는 기능 호출을 수행하는 방식으로 진행됐다.

먼저, 소프트웨어 공급사 시스디그(Sysdig) 연구팀은 셸 스크립트('userlinux888')가 깃허브 계정 생성 자동화와 저장소 생성 과정에 동원돼, 깃허브 작업을 사용하여 워크플로우를 복제한다는 부분을 확인했다. 깃허브의 모든 활동은 이름에 임의의 문자열을 사용하여 난독화된다.

또, 계정 등록 단계에서는 오픈VPN(OpenVPN)과 네임칩 VPN(Namecheap VPN)을 사용해, 다른 IP 주소로 계정을 등록하여 깃허브의 봇 활동 감지를 우회한 것으로 드러났다.

연구팀은 퍼플루친 작전의 핵심은 C2 서버와 스트라텀(Stratum) 서버 역할을 하는 linuxapp 컨테이너이며, 모든 활성화된 채굴 에이전트를 조정하고 해커 세력의 채굴 풀로 유도한다고 설명했다.

탈취 공격 세력은 서버 CPU 전력 중 극소수만 사용해, 타이드코인(Tidecoin)과 오닉스(Onyx), 슈가체인(Surgarchain), 스프린트(Sprint), 옌텐(Yenten), Arionum, 민트미(MintMe), 비트웹(Bitweb) 등 암호화폐 코인을 채굴했다.

채굴 과정에는 네크워크 스캐너의 채굴 풀에 대한 아웃바운드 연결을 검색하는 기능을 방해할 목적으로 사용자 지정 스트라텀 채굴 프로토콜 릴레이를 적용했다. 릴레이는 해커 세력의 암호화폐 지갑 주소를 확실히 알 수 없도록 만드는 역할을 하기도 한다. 따라서 연구팀은 퍼플우친으로 기록한 채굴 수익을 정확히 확인할 수 없었다.

다만, 연구팀은 해커 세력이 선택한 채굴 코인 모두 채굴 수익이 높은 편임을 확인했다. 이에, 이번 공격이 네트워크 제어 과반수를 생성해, 블록체인 장악을 시도할 가능성을 추정하였다. 만약, 연구팀의 추측 사항이 사실로 드러난다면, 머지않아 채굴 코인을 모네로(Monero, XMR)나 비트코인(Bitcoin, BTC) 등 채굴 수익성이 더 높은 가상자산으로 전환할 수도 있다.