구글이 전 세계적으로 100만대 이상 윈도우 PC를 제어하는 Glupteba 봇넷을 중단 조치했다고 발표했다. Glupteba는 블록체인 기반 모듈식 멀웨어로, 최소 2011년부터 미국, 인도, 브라질 및 동남아시아 국가를 포함한 전 세계 윈도우 장치를 표적으로 삼고 있다고 브리핑컴퓨터가 보도했다.
보도에 따르면, 이 멀웨어 변종의 배후에 있는 위협 행위자는 주로 PPI(Pay-Per-Install, 설치 당 지불) 네트워크와 다운로드 가능한 무료 소프트웨어, 비디오 또는 영화로 위장한 TDS(트래픽 배포 시스템)를 통해 타깃 장치에 페이로드를 유포한다.
호스트를 감염시킨 후에는 암호화폐를 채굴하고, 자격증명과 쿠키를 갈취하고, 윈도우 시스템 및 IoT 장치에 프록시를 배포할 수 있다. 이 프록시는 나중에 다른 사이버 범죄자에게 ‘주거용 프록시’로 판매된다.
구글은 해당 봇넷을 중단시키기 위해 비트코인 블록체인 백업 메커니즘을 사용해 기본 C2 서버가 응답을 중지할 경우 복원성을 추가하는 Glupteba의 핵심 명령 및 제어 인프라를 인수했다.
구글 위협 분석 그룹의 Shane Huntley와 Luca Negy는 “이 조치가 Glupteba의 운영에 상당한 영향을 미칠 것이다. 그러나 Glupteba 운영자는 비트코인 블록체인에 인코딩된 데이터를 사용하는 백업 명령 및 제어 메커니즘을 통해 봇넷의 제어권 재획득을 시도할 가능성이 있다.”고 설명했다.
구글은 또한 2명의 러시아 피고인 Dmitry Starovikov와 Alexander Filippov, 15명의 다른 개인들에 대해 뉴욕 남부 지역 임시 접근 금지 명령과 고소장을 제출했다. 사용자 계정 및 신용카드 정보 도용, 감염 장치에 대한 광고 게재 및 프록시 액세스 판매, 컴퓨터 사기 및 남용, 상표권 침해와 기타 계획에 대한 고소이다.
Glupteba 봇넷 운영자가 제공하는 온라인 서비스 중 구글은 “도난된 자격 증명이 로드된 가상 머신 액세스와 프록시 액세스 판매, 악성 광고나 결제 사기 등 악의적 활동에 사용하기 위한 신용카드 번호 판매” 등을 언급했다.
구글 보안 부사장과 법률 고문은 “안타깝게도 Glupteba가 블록체인 기술을 복원 메커니즘으로 사용하는 것은 주목할 만한 사실이며, 이러한 행태는 사이버 범죄 조직 사이에서 점점 더 일반적인 관행이 되고 있다.”고 설명하며, “블록체인의 분산된 특성을 사용하면 봇넷이 중단으로부터 더 빨리 복구될 수 있고, 이 때문에 종료시키기 매우 어렵다. 우리는 이러한 유형의 행위를 퇴치하면서 업계 및 정부와 긴밀히 협력해 Glupteba가 다시 돌아오더라도 인터넷에 대한 보호가 잘 이루어질 것이다.”고 덧붙였다.
한편, 마이크로소프트는 월요일에 중국 배후 해킹 그룹인 Nickel(또는 KE3CHANG, APT15, Vixen Panda, Royal APT, Playful Dragon)이 미국과 전 세계 28개국의 정부 기관, 외교 기관 및 비정부 기관 서버를 타깃으로 사용한 수십 개 악성 사이트를 압수했다.
★정보보안 대표 미디어 데일리시큐!★