미국과 캐나다가 "KimWolf" 봇넷의 조직자로 의심되는 사람을 체포하기 위해 힘을 합쳤고, 캐나다인은 송환 위기에 놓였습니다.

미국과 캐나다 법 집행 기관은 최근 전 세계적으로 약 200만 대의 장치를 감염시킨 "KimWolf" 분산 서비스 거부(DDoS) 봇넷을 운영한 혐의로 캐나다 남성을 체포하고 기소했습니다.

공개 형사 기소장에 따르면, 온라인에서 '도르트'로 알려진 23세의 캐나다 남성 제이콥 버틀러(Jacob Butler)가 미국의 송환 영장에 따라 캐나다 오타와에서 현지 법 집행 당국에 의해 수요일 체포되었습니다. 미국 알래스카 지방검찰청이 목요일 공개한 형사 고소장에 따르면 수사관들은 IP 주소와 온라인 계정 정보, 관련 거래 기록, 네트워크 통신 기록을 통해 버틀러를 'KimWolf' 봇넷의 운영 활동에 연결시켰다고 명시되어 있습니다.

검찰은 버틀러가 컴퓨터 침입을 돕고 방조한 혐의로 기소했으며 현재 최대 징역 10년을 선고받을 수 있는 관련 혐의를 받고 있다. 이후 그는 재판을 위해 미국으로 송환될 예정이다. 사건 파일에 따르면 '킴울프'는 유료 'DDoS 프록시' 서비스로 운영됐으며 사이버범죄자들이 고강도 서비스 거부 공격을 가하는 데 이용됐다. 일부 공격 트래픽은 한때 초당 30테라비트에 육박해 당시 공개된 가장 큰 DDoS 공격 중 하나였습니다.

조사 결과 버틀러는 공격 개시에 사용하기 위해 자신이 통제하는 대규모 "브로일러" 네트워크를 조회수 기준 또는 구독 기준으로 다른 사람에게 판매하는 "서비스형 사이버 범죄" 모델을 채택한 것으로 나타났습니다. 이러한 제어 장치는 디지털 액자와 웹캠부터 Android 기반 TV 박스와 스트리밍 미디어 재생 장치에 이르기까지 다양합니다.

보고서에 따르면 'KimWolf' 봇넷은 미국 DoDIN(국방부 정보 네트워크)과 관련된 IP 주소를 포함하여 다양한 컴퓨터와 서버를 표적으로 삼아 전 세계적으로 25,000건 이상의 공격을 실행하는 데 사용되었습니다. 이로 인해 일부 피해 기관은 100만 달러 이상의 재정적 손실을 입은 것으로 알려졌다.

사이버 보안 회사인 Synthient는 "KimWolf"의 확장을 추적해 왔으며 올해 1월에 봇넷이 Android 장치를 공격하기 위해 주거용 프록시 네트워크 취약점을 악용한 후 약 200만 대의 감염된 장치로 빠르게 확장되었다는 보고서를 발표했습니다. 연구원들은 또한 '킴울프'가 매주 약 1,200만 개의 고유 IP 주소를 생성할 수 있으며, 이를 통해 실제 공격 소스를 숨기고 공격 탄력성을 강화할 수 있다고 주장했습니다.

동시에 미국 캘리포니아 중부 연방법원도 DDoS 프록시 서비스를 제공하는 45개 플랫폼에 대해 다수의 압류 명령을 공개하고 도메인 이름 및 인프라 압수를 실시해 '킴울프'와 협력 관계를 맺고 있는 다수의 플랫폼에 영향을 미쳤다. 미국 법무부는 법 집행 기관이 이러한 서비스와 관련된 도메인 이름 기록을 압수하고 DDoS 프록시 서비스가 불법임을 대중에게 상기시키기 위해 공식 경고 페이지로 액세스 요청을 리디렉션했다고 밝혔습니다.

버틀러의 체포는 올해 3월 초국가적 법집행 작전에 이은 또 다른 주요 사건입니다. 이 작전에서 미국, 독일, 캐나다는 함께 협력하여 "KimWolf"와 세 가지 관련 봇넷인 "Aisuru", "JackSkid" 및 "Mossad"의 명령 및 제어 인프라를 탈취하고 차단했습니다. 이 4개의 봇넷은 모두 300만 개 이상의 IoT 장치를 감염시켰습니다.

당시 법무부는 이러한 봇넷의 다수의 "브로일러"에 웹캠, 디지털 비디오 레코더, Wi-Fi 라우터가 포함되어 있으며 그 중 상당수가 미국에 위치했다고 밝혔습니다. 법 집행 기관은 이러한 대규모 악성 인프라를 표적으로 삼아 파괴하기 위해 국제 파트너와 계속 협력하는 동시에 배후에 있는 사람들에게 형사 책임을 물을 것이라고 강조했습니다.