FBI, 기관들과 협력해 Qakbot 폐쇄 및 수백만 달러 상당의 비트코인 압류

8월 말, FBI 전 세계 법 집행 기관과 협력하여 Qakbot 봇넷을 선제적으로 차단했다고 발표했습니다. 에 따르면 DOJ(미국 법무부) 의 보도자료에 따르면, " Qakbot 악성 코드가 피해 컴퓨터에서 삭제되어 더 이상 피해를 입히지 못하게 되었습니다. 또한 법무부는 불법 수익으로 약 860만 달러의 가상자산 압수했다"고 발표했습니다.

FBI 파트너는 전통적인 수사 기법과 블록체인 추적을 사용하여 8,600,000달러 상당의 비트코인을 식별, 추적, 압수할 수 있었습니다. 

Qakbot 배경

큐봇, 핑크슬립봇으로도 알려진 Qakbot 2008년부터 랜섬웨어 및 피해자 데이터 유출을 비롯한 사이버 범죄 활동에 사용된 정교한 멀웨어 변종이자 봇넷으로, 주로 이메일 피싱 캠페인을 통해 유포되었습니다. 간단히 말해, 다양한 연계 범죄 그룹이 봇넷을 사용하여 피해자의 컴퓨터를 감염시킨 다음 피해자의 컴퓨터에서 봇넷을 삭제하기 위해 '몸값'을 요구합니다. 

FBI 사이버 부서의 브라이언 스미스 과장에 따르면, 가장 유명한 랜섬웨어 그룹인 Conti, ProLock, Egregor, REvil, Black Basta 등이 모두 랜섬웨어 피해자를 갈취하기 위해 Qakbot 사용했습니다. "다른 멀웨어 변종과 마찬가지로 Qakbot 다른 사이버 범죄자들의 초기 접속 브로커로 진화했습니다. 초기 액세스 브로커가 사이버 범죄 생태계의 핵심이며 봇넷의 진정한 영향력은 이 브로커가 어떻게 사용되느냐에 따라 달라진다는 점은 아무리 강조해도 지나치지 않습니다."

FBI 2011년부터 다양한 형태의 Qakbot 멀웨어와 봇넷을 조사해 왔습니다. 조사를 통해 이 봇넷의 인프라와 피해자의 컴퓨터가 전 세계에 걸쳐 있다는 사실이 밝혀졌습니다. 정확한 수치는 시간이 지남에 따라 달라졌지만 2023년에는 전 세계적으로 약 70만 명의 Qakbot 피해자가 발생했으며 미국에서는 20만 명 이상이 감염되었습니다. Qakbot 수명 기간 동안 발생한 총 감염 건수는 수백만 건에 달할 것으로 추정됩니다.

가상자산 조사를 총괄한 브라이언 스미스 과장은 Qakbot 봇넷의 배포로 인해 전 세계 피해자들이 총 수억 달러 상당의 손실을 입은 것으로 추정했습니다. 계열사들은 일반적으로 몸값의 10~20%에 해당하는 수수료를 Qakbot 관리자에게 지불합니다. 

압수 영장 진술서에 자세히 설명되어 있듯이, 요원들은 랜섬웨어 수익금이 계열사로부터 Qakbot 관리자에게로 흘러간 것을 추적한 다음 관리자로부터 수익금을 압수할 수 있었습니다. 예를 들어, 진술서에는 랜섬웨어 그룹 블랙 바스타에서 Qakbot 관리자에게 44개 이상의 비트코인 갈취 대금이 흘러간 것으로 설명되어 있습니다. 수사관들은 '주체 주소 1'로 44.066491달러가 지급된 것이 블랙 바스타로부터 유입된 비례 지불임을 보여주는 Qakbot 팀의 내부 채팅을 확보할 수 있었습니다.

‍

‍

마찬가지로 진술서에는 '대상 주소 2'가 랜섬웨어 계열사의 랜섬웨어 갈취 보상금과 관련된 10%의 수수료로 설명되어 있습니다.

‍

‍

스미스 과장은 블록체인 추적과 자금 추적을 위한 도구 사용에 대해 자세히 설명했습니다:

"암호화폐의 경우 거래의 익명성과 가치 이동 속도 때문에 몇 가지 어려움이 있지만, 영구적인 디지털 발자국을 제공하여 분석하고 다른 활동과 연결할 수 있는 개방형 블록체인을 사용하면 수사상의 이점도 있습니다. FBI 2013년에 가상자산 사라지지 않을 것이라는 사실을 깨달았습니다. 그래서 우리는 가상자산하고, FBI 전체에 역량과 인식을 구축하며, 직원과 파트너에게 교육을 제공하기 위해 최초의 가상화폐 팀을 시작했습니다. 이러한 작업은 수년에 걸쳐 확장되었고 가상자산 사이버 범죄자와 자금 세탁 조력자들이 사용하는 틈새 시장에서 FBI 담당하는 거의 모든 위반 행위에서 일정한 역할을 하는 것으로 진화하는 것을 목격했습니다."

↪f_200D↩테이크다운

2023년 8월 25일, FBI 국제 파트너는 전 세계 Qakbot 인프라를 대상으로 다음과 같은 법 집행 조치를 실시했습니다:

• 봇넷 트래픽을 FBI 통제 서버로 리디렉션
• 감염된 피해자로부터 Qakbot 멀웨어를 제거하고 글로벌 인프라를 해체합니다.
• 부당이득 수익금에 해당하는 약 860만 달러의 가상자산 압류 또는 동결
• Qakbot 그룹에 대한 정보를 위한 국무부 법무부 보상 프로그램 개시

FBI 그 파트너들은 협업을 통해 미래 지향적인 수사 기법을 사용하여 이를 달성할 수 있었습니다. 예를 들어, 스미스 과장은 "먼저 Qakbot 네트워크에 침투하여 전체 네트워크를 파악할 수 있었습니다. 그런 다음 법적 권한을 통해 Qakbot 명령 및 제어 서버를 장악하고 트래픽을 FBI 통제하는 서버로 리디렉션했습니다. 그런 다음 미국 법원의 추가 승인을 통해 제거 툴로 Qakbot 멀웨어를 업데이트하여 피해 컴퓨터에서 Qakbot 멀웨어를 쉽게 제거할 수 있었습니다." 

여러 기관의 다각적인 방해에 대한 이러한 사전 예방적 접근 방식은 끈기와 협업의 결과였습니다. FBI DOJ(미국 법무부) 는 유로폴 및 유로저스트와 함께 여러 해외 파트너와 협력하여 인프라를 식별하고 해체했습니다. 외국 파트너 중에는 독일, 네덜란드, 프랑스, 루마니아, 라트비아, 영국과 로스앤젤레스, 밀워키, 뉴헤이븐을 포함한 FBI 내 여러 지부가 포함되었습니다.

중요한 이유

FBI 파트너는 사이버 범죄 전략에 대해 다각적인 접근 방식을 취합니다. FBI 파트너는 멀웨어 전달 시스템, 전체 인프라, 통신 네트워크를 해체하고 범죄 수익금을 모두 압수하여 사이버 범죄 행위자를 완전히 무력화하는 것을 목표로 합니다. 

피해자를 지원하기 위해 FBI "Have I Been Pwned"의 민간 부문 역량을 활용했습니다. 일반인은 haveibeenpwned.com에 접속하여 이메일 주소를 입력하여 자신이 Qakbot 피해자일 수 있는지 확인할 수 있습니다.

또한 FBI 피해자 알림 및 해결을 지원하기 위해 CISA, Microsoft 디지털 범죄 유닛, 국가 사이버 포렌식 및 교육 연합, Shadowserver 및 ZScaler와도 협력했습니다. 

조직은 CISA(또는 자국에서 이에 상응하는 기관) 및 인터넷 서비스 제공업체와 협력하여 무료 피해자 알림 알림 및 관련 서비스의 이용 가능 여부에 대해 문의해야 합니다. 

마지막으로, 피해자들은 Qakbot 손상된 네트워크에 대한 액세스를 용이하게 했다는 사실을 기억해야 합니다. 범죄자들은 종종 추가 멀웨어와 도구를 사용하여 데이터를 훔치거나 랜섬웨어 배포하거나 사기 계획을 수행했습니다. 따라서 FBI 피해 컴퓨터에서 Qakbot 제거했지만 시스템에 다른 멀웨어가 여전히 남아 있을 수 있습니다.