FBI, 법무부, Qakbot 악성 코드 제거

게티 이미지

FBI와 미국 법무부가 주도한 국제 법 집행 작전으로 인해 Qakbot 봇넷이 크게 중단되었습니다.

Qakbot은 2000년대 후반에 처음 발견된 뱅킹 트로이 목마로, 수년 동안 특히 랜섬웨어 갱단 사이에서 사이버 범죄가 활발하게 발생했습니다. 법무부는 화요일 보도 자료를 통해 "미국, 프랑스, ​​독일, 네덜란드, 영국, 루마니아, 라트비아에서 활동을 포함하는 다국적 작전"이라고 밝혔습니다.

FBI는 법원 명령을 통해 봇넷의 인프라에 접근하고 명령 및 제어 시스템에 대한 암호화 키를 포함한 귀중한 데이터를 확보했습니다. 또한 당국은 미국의 200,000대 이상을 포함하여 전 세계적으로 700,000대 이상의 감염된 컴퓨터를 식별하고 Qakbot 트래픽을 국이 통제하는 서버로 리디렉션했습니다.

FBI 뉴스 기사에 따르면 이러한 서버는 "감염된 컴퓨터에 제거 프로그램 파일을 다운로드하도록 지시했습니다." 제거 프로그램은 피해자의 시스템에서 Qakbot 악성 코드를 제거하고 봇넷에서 이들을 분리하여 새로운 악성 코드의 설치를 방지하는 DLL 파일이었습니다.

"FBI는 이 광범위한 범죄 공급망을 무력화하여 완전히 절단했습니다. 피해자는 동부 해안의 금융 기관부터 중서부의 주요 인프라 정부 계약자, 서부 해안의 의료 기기 제조업체에 이르기까지 다양했습니다." 크리스토퍼 레이 감독은 게시 중단에 대한 비디오 발표를 통해 이렇게 말했습니다.

"오리 사냥(Duck Hunt)"이라고 명명된 이 작전은 또한 강탈 자금 860만 달러를 압수하는 결과를 가져왔습니다. 법무부는 조사관들이 Qakbot 관리자가 2021년 10월부터 2023년 4월 사이에 약 5,800만 달러의 몸값을 받았다는 증거를 발견했다고 밝혔습니다.

메릭 갈랜드(Merrick Garland) 법무장관은 법무부 보도 자료에서 "Qakbot과 같은 악성 코드를 이용해 무고한 피해자의 개인 데이터를 훔치는 사이버 범죄자들은 ​​법의 테두리 밖에서 활동하지 않는다는 사실을 오늘 상기시켰다"고 말했습니다.

사이버 보안 공급업체인 Secureworks는 FBI의 사용자 정의 DLL 파일을 "영리하다"고 언급한 Qakbot 게시 중단에 대한 기술적 분석을 발표했습니다. TechTarget Editorial과 공유한 성명에서 Secureworks의 Counter Threat Unit 부사장인 Don Smith는 Qakbot이 전 세계 기업에 "중요한 적"이라고 말했습니다.

Smith는 "eCrime을 위해 설계된 Qakbot 감염은 가장 정교하고 파괴적인 랜섬웨어의 배포로 이어졌습니다. Qakbot은 수년에 걸쳐 진화하여 범죄자의 무기고에서 유연한 부분이 되었습니다"라고 말했습니다. "그것의 제거는 환영할 일이다."

TechTarget Editorial은 추가 의견을 위해 FBI에 연락했습니다.

Alexander Culafi는 보스턴에 거주하는 정보 보안 뉴스 작가, 저널리스트 및 팟캐스터입니다.