FBI는 최근, 'Operation Duck Hunt'을 통해 Qakbot 보트넷을 무력화시켰습니다. 이 작전에서 FBI는 보트넷의 통신을 자신들이 통제하는 서버로 리디렉션하며 약 70만 개의 감염된 기기를 파악했습니다. 이어서, FBI는 보트넷의 통제권을 손에 넣고, 피해자의 컴퓨터에서 맬웨어를 제거하는 방법을 모색했습니다. 이를 통해 보트넷의 인프라를 성공적으로 해체했습니다.
Qakbot은 트로이 목마로 시작하여, 은행 자격 증명, 웹사이트 쿠키, 신용 카드 정보를 도난하는데 사용되었습니다. 그러나 시간이 흐르면서 Qakbot은 다른 위협 행위자들이 랜섬웨어 공격, 데이터 도난 등 악의적인 사이버 활동을 진행하기 위한 초기 접근 경로를 얻는 데 사용하는 맬웨어 서비스로 발전했습니다. 피싱 캠페인을 통해 배포되며, 이메일 스레드를 훔쳐서 첨부된 악성 문서를 포함시켜 체인 이메일 공격과 같은 다양한 사회공학기법을 이용합니다.
FBI는 공격자의 서버 인프라를 수집하고 Qakbot 맬웨어를 감염된 기기에서 제거하는 특수 제거 도구로 보트넷을 해체했습니다. FBI는 Qakbot의 관리자 컴퓨터에 접속함으로써 보트넷 작업에 사용된 서버 인프라를 파악했습니다. 통제하고 있는 모든 감염된 기기를 이용하여 각 Tier-1 서버에 연결하고, 법 집행기관이 만든 모듈로 이미 설치된 Qakbot "super node" 모듈을 대체하는데 이 암호화 키가 사용되었습니다.
요약
- FBI는 Qakbot 보트넷을 무력화시키는 'Operation Duck Hunt'을 통해 약 70만 개의 감염된 기기를 파악하였다.
- Qakbot은 은행정보나 신용카드 정보를 도난하는 맬웨어로 시작하여, 다른 위협 행위자들이 악의적인 사이버 활동을 진행하기 위한 초기 접근 경로를 얻는 데 사용하는 맬웨어로 발전하였다.
- FBI는 Qakbot 맬웨어를 제거하는 특수 도구를 만들어 놓고, 이를 통해 보트넷의 가장 중요한 부분인 서버의 인프라를 해체하였다.
- FBI는 보트넷을 해제하기 위해 암호화 키를 사용하여 감염된 기기에서 각 Tier-1 서버에 연락을 시도하였다.
- FBI는 이러한 과정을 통해 보트넷을 성공적으로 제어하고 맬웨어를 제거하였으며, 이와 같은 작전은 유사한 사례들에 대한 효과적인 대응 방안으로 작용할 수 있을 것이다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.