개요

미국과 유럽의 중소기업에서 수천만 달러를 훔친 다작의 사이버 범죄 그룹 관리자인 Vyacheslav “Tank” Penchukov(Vycheslav Igorevich Penchukov, 40세, 우크라이나)가 2022년 10월 23일, 스위스 제네바에서 아내를 만나기 위해 여행하던 중 체포되었다.

[그림 1] FBI에서 수배 중인 우크라이나 사이버 범죄 용의자 (오른쪽 - Tank)

(출처 : krebsonsecurity)

Penchukov는 2014년 미국 법무부의 기소장에서 우크라이나와 러시아에서 맞춤형 Zeus 뱅킹 트로이 목마로 피해 기업을 공격한 사이버 범죄 집단인 “JabberZeus Crew”의 최고 인물로 지명되었다.

JabberZeus란

“JabberZeus” 멤버의 가명은 그들이 사용한 맬웨어에서 파생되었으며, 새로운 피해자가 은행을 가장한 피싱 페이지에 일회용 암호 코드를 입력할 때마다 Jabber 인스턴트 메시지를 보내도록 구성되었다.

JabberZeus는 주로 중소기업을 대상으로 공격을 시도했으며 피해자가 웹 기반 양식을 통해 제출하는 모든 데이터를 조용히 가로챌 수 있는 “Man-In-The-Browser” 공격을 이용한 공격 그룹이다.

공격자는 피해자 회사의 은행 계좌에 들어가면, 은행 송금을 처리하기 위해 재택근무 제도를 통해 모집된 수십 명의 불법 자금 송금책을 추가하기 위해 회사의 급여를 수정한다. 그리고 불법 자금 송금책은 그들의 수수료를 뺀 훔친 급여 예금을 해외로 송금한다.

JabberZeus 맬웨어는 Zeus 트로이 목마의 제작자로 추정되는 러시아 사이버 범죄자 “Evgeniy Mikhailovich Bogachev”가 범죄 그룹을 위해 맞춤 제작하였다. 이는 수사관들이 Bogachev와 JabberZeus가 수년 동안 주고 받은 Jabber 채팅을 확인하였고 Bogachev의 모니터링된 별칭이 맬웨어 업데이트에 대해 JabberZeus 그룹과 준정기적으로 연락했기 때문에 JabberZeus 맬웨어와 Bogachev가 연관이 있다는 것을 식별했다.

[그림 2] Tank-Bogachev Jabber 채팅 中 일부

(출처 : krebsonsecurity)

“Tank”와 “Penchukov”의 연관성

버밍엄에 있는 앨라배마 대학의 컴퓨터 포렌식 연구 책임자인 “Gary Warner”는 2014년 자신의 블로그에서 “Tank”가 2009년 7월 22일 JabberZeus 채팅에서 공모자들에게 그의 딸 “Miloslava”가 태어났으며, 아기의 출생체중을 말했다고 언급했다.

Warner는 “우크라이나 출생 기록을 검색한 결과 그날에 태어난 같은 출생체중을 가진 Miloslava 이름의 아기는 한 명만 확인되었다.”라고 언급했으며, 이것은 “Tank”가 Penchukov임을 확실히 확인하기에 충분했다고 Warner는 말했다.

Penchukov의 체포가 어려웠던 이유

Penchukov의 정치적 인맥이 수년 동안 우크라이나 사이버 범죄 수사관의 기소를 피하는 데 도움이 되었다. 전 우크라이나 대통령 “Victor Yanukovych(Victor Yanukovych Jr.)”의 고인이 된 아들이 “Tank”의 딸 Miloslava의 대부 역할을 하게 된다. Yanukovych 가문과의 연결을 통해 “Tank”는 법 집행 기관을 포함하여 우크라이나 정부의 최상위 계층에 있는 주요 내부자와 접촉할 수 있었다.

2010년 우크라이나 보안국(SBU, Security Service of Ukraine)이 “Tank”와 그의 공모자들에게 수색 영장을 발부할 준비를 하고 있을 때, “Tank”는 SBU가 그의 집을 급습하러 온다는 제보를 받았다고 Penchukov에 대한 조사를 보고받았다. 그 경고는 “Tank”에게 그룹에 대한 중요한 증거를 파괴할 충분한 시간을 주었고, 급습이 일어났을 때 집에 있는 것을 피할 수 있었다. 이 정보들은 또한 “Tank”가 그의 연락처를 이용하여 그의 공모자들에 대한 조사를 부패한 SBU가 이끄는 다른 부서로 옮겼다고 말했다.

[그림 3] JabberZeus 수사 보드

(출처 : technologyreview)

JabberZeus의 또 다른 멤버인 Maksim “Aqua” Yakubets(Maksim Viktorovich Yakubets, 35세, 우크라이나)도 현재 FBI에 수배 중이며, FBI는 그의 체포와 유죄 판결에 이르는 정보에 대해 500만 달러(한화 약 67억 원)의 현상금을 제공하고 있다.

[그림 4] Evil Corp와 관련있는 Maksim “Aqua” Yakubets

(출처 : FBI)

마무리

이번에 체포된 Penchukov외에도 2022년 3월, Raccoon Infostealer로 알려진 국제 사이버 범죄 조직에 가담한 Mark Sokolovsky(26세, 우크라이나)를 포함하여 많은 사이버 범죄 조직의 멤버들이 국제 수사 기관들에 의해 활발히 수배 및 체포되고 있다.

이는 국제적으로 활개를 치고 있는 사이버 범죄 조직을 억제하기 위한 국제 수사 기관들의 공조와 높은 현상금을 이용하여 활발한 제보를 통해 얻은 정보로 사이버 범죄 조직 검거를 위한 적극적인 움직임으로 보인다.

출처

[1] Top Zeus Botnet Suspect “Tank” Arrested in Geneva

https://krebsonsecurity.com/2022/11/top-zeus-botnet-suspect-tank-arrested-in-geneva/

[2] Inside the FBI, Russia, and Ukraine’s failed cybercrime investigation

https://www.technologyreview.com/2021/07/08/1027999/fbi-russia-ukraine-cybercrime-investigation-ransomware/

[3] Accused ‘Raccoon’ Malware Developer Fled Ukraine After Russian Invasion

https://krebsonsecurity.com/2022/10/accused-raccoon-malware-developer-fled-ukraine-after-russian-invasion/

[4] Mark Sokolovsky [Raccoon Stealer] unsealed indictment

https://www.documentcloud.org/documents/23185268-mark-sokolovsky-raccoon-stealer-unsealed-indictment

보안관제센터 MIR Team