러시아 레빌 체포 작전(보안뉴스)

https://m.boannews.com/html/detail.html?tab_type=1&idx=104313 

https://www.itworld.co.kr/news/201344

갑자기 사라진 랜섬웨어 그룹 '레빌', 피해 기업은 시스템 복구 불가

러시아의 레빌 체포 작전, 다크웹에 커다란 공포심 심었다

2021년 7월 13일 온라인에서 램섬웨어 그룹의 레빌(REvil)의 다크웹이 온라인에서 사라진 것에 이어 2022년 1월 셋째주, 러시아에서 레빌(REvil) 소탕 작전이 있었다. 러시아의 연방안보국(FSB)는 이 작전으로 레빌 갱단 14명을 체포하고 680만 달러의 자산을 압수할 수 있었다. 레빌은 미국 JBS 푸드(JBS Foods)와 카세야(Kaseya) 사태를 일으킨 사이버 범죄자 갱단이다. 

이번 작전는 러시아가 더 이상 사이버 범죄자들에게 안전한 땅이 될 수 없음을 시사한다. 그동안 타국의 사이버 범죄 관련 문제 제기를 받아들이지 않았던 러시아가 미국의 정보를 토대로 이번 작전을 진행했기 때문이다. 

이에 따라 러시아에 토대를 두고 있는 범죄자들의 포럼에서 고발과, 신고, 경찰을 피하는 조언들의 빈도가 늘고있다.

 

*레빌: 소디노키비(Sodinokibi)라는 이름으로 알려지기도 한 레빌은 2019년에 등장한 랜섬웨어 그룹이다. 

 

*미국 JBS 푸드(JBS Foods) 사태: 2021년 5월, 거대한 육류 수출업체인 JBS푸드가 레빌의 사이버 테러로 메인 서버가 다운되면서 세계 소고기 시장에 심각한 지장을 초래했다. 아일랜드 보건행정부(HSE)의 컴퓨터를 통해서 이루어진 사이버 테러였다고 알려졌다. 6월 9일 JBS 푸드가 레빌쪽에 $11 million를 지불하면서 사태가 종료되었다. 

 

*카세야(Kaseya) 사태: 2021년 7월, 미국의 소프트웨어 제공업체 카세야(Kaseya)를 레빌이 공격함으로써 최대 2,000개의 기관과 기업이 영향을 받은 것으로 추정된다. 레빌은 카세야의 원격 컴퓨터 관리 도구의 취약점(CVE-2021-30116)-VSA에서 로직 결함으로 인해 발생하는 정보 노출 취햑점-을 이용해 공격을 감행했다. 그 후 카세야는 여러차레 VSA서버와 SaaS서버에서 패치를 감행했고, 중간에 레빌의 웹사이트가 없어지면서 피해자 개인의 복호화 키 협상은 결려되었다. 

카세야가 공격후 24일이 지나 복화화 키를 확보하며 사태가 종료되었다.

-카세야의 원격 컴퓨터 관리 도구인 카세야 VSA(Kaseya VSA): 비싼 공유 스토리지 하드웨어가 아닌, 기존 서버에서 가상화를 이용한 비용 절감 스토리지 관리 도구

-SaaS서버: Software as a Service, 고객에게 제공되는 소프트웨어를 가상화(클라우드 서비스의 한 종류)

 

*토르(어)(Tor) 프로토콜: The Onion Router, 네트워크 우회와 익명화를 위해 사용하는 툴 중 하나로 딥웹과 다크웹에 이용되는 소프트웨어 프로토콜이다. Tor의 트래픽은 출발지에서 순차적으로 암호화하는 방식을 이용하고, 지정된 브라우저에서 송수신되는 모든 패킷을 우회시키므로 익명성 부분에서 뛰어나다. Tor Browser은 파이어폭스를 사용한다. 

-Tor: 익명 네트워크

Tor의 동작

*클라우드 서비스의 종류

Iaas(Infrastructure as a Service): 개발사에 제공되는 물리적 자원을 가상화-자동화된 컴퓨팅 리소스를 가상화하여 제공

(서버, 네트워크, OS, 스토리지)

Paas(Platform as a Service): 개발사에 제공되는 플랫폼을 가상화-응용 프로그램을 개발할 때 필요한 플랫폼을 제공

(OS, 미들웨어, 런타임)

Saas(Software as a Service): 고객에게 제공되는 소프트웨어를 가상화-고객을 대신하여 소트프워어와 데이터를 제공, 관리

클라우드 서비스 비교