미국, 러 해커 조직 샌드웜의 멀웨어 봇넷 해체
상태바
미국, 러 해커 조직 샌드웜의 멀웨어 봇넷 해체
  • 곽중희 기자
  • 승인 2022.04.07 09:59
  • 댓글 0
이 기사를 공유합니다

FBI-워치가드 협력해 시스템 감염 조기 차단

미국 정부가 러시아 해커 조직 샌드웜이 사용하는 Cyclops Blink(신종 멀웨어의 한 종류) 봇넷을 해체했다고 발표했다.

미 법무부는 4월 7일 지난 3월에 법원이 승인한 작전을 공개하면서, 보안 연구원과 함께 러시아 해커 조직 샌드웜에 의해 감염된 수천 개의 네트워크 하드웨어 장치의 2계층 글로벌 봇넷을 해체하고 있다고 밝혔다.

이들은 "샌드웜이 Cyclops Blink 봇넷의 C2(명령 및 제어)를 위해 침투한 취약한 인터넷 연결 방화벽 장치에서 멀웨어를 제거했다"라고 말했다. 

이어 "우리가 발표한 두 번째 조치는 일반적으로 GRU로 알려진 러시아 군사 정보 기관이 통제하는 글로벌 봇넷의 해체다. 러시아 정부는 최근 Cyclops Blink과 유사한 기반 시설을 사용해 우크라이나를 공격했다. 다행히 샌드웜이 Cyclops Blink을 사용하기 전에 막을 수 있었고, 국제 파트너와의 긴밀한 협력 덕분에 수천 개의 네트워크 하드웨어 장치 감염을 감지했다”라고 설명했다.

FBI는 Cyclops Blink 봇넷을 삭제하기 전에 외국 법 집행 파트너의 도움을 받아 미국 및 해외에서 감염된 장치의 소유자들에게 이 사실을 알렸다.

크리스 레이 FBI 국장은 “지난 몇 주 동안 워치가드(WatchGuard)와 긴밀히 협력해 악성코드를 분석하고 탐지 도구 및 치료 기술을 개발했다. Cyclops Blink에서 Firebox 장치를 제어하는 러시아의 능력을 제거한 다음, 멀웨어도 제거했다. 다만 Firebox 장치가 여전히 취약한 상태로 남아 있을 수 있으므로 해당 장치의 소유자는 가능한 한 빨리 워치가드의 권장 탐지 및 수정을 실시해야 한다”라고 강조했다.

워치가드는 손상된 Firebox를 복원하는 방법에 대한 지침을 게시했다. 또한 Cyclops Blink 감지 도구 세트와 4단계의 Cyclops Blink 진단 및 치료 계획을 출시해 진단이 필요한 경우, 치료를 받고 감염을 예방할 수 있도록 지원했다.

한편, 샌드웜은 2000년부터 활동했으며 러시아 GRU의 GTsST(Main Center for Special Technologies)의 74455 부대의 통제 하에 운영되는 것으로 알려졌다. 이들은 2017년 6월에 전 세계 수백 개의 회사를 공격해 수십억 원 상당의 피해를 입힌 NotPetya 랜섬웨어의 실체이기도 하다.

 

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.