25개 랜섬웨어 그룹이 이용한 첫 VPN, 전 세계 작전으로 해체
출처: The Hacker News
유럽과 북미의 당국은 범죄자들이 랜섬웨어 공격, 데이터 절도, 스캐닝 및 서비스 거부 공격의 출처를 은폐하기 위해 사용하던 범죄 전용 가상 사설망(VPN) 서비스를 해체했다고 발표했습니다.
First VPN 서비스의 해체 작업은 프랑스와 네덜란드가 주도했으며, 2021년 12월 이후 룩셈부르크, 루마니아, 스위스, 우크라이나, 영국, 캐나다, 독일, 미국, 스페인, 스웨덴, 덴마크, 에스토니아, 라트비아, 리투아니아, 폴란드, 포르투갈 등 여러 국가가 조사에 참여했습니다.
Europol에 따르면 First VPN은 범죄용으로 특화된 서비스를 제공했으며, 익명 결제와 숨겨진 인프라를 통해 고객이 랜섬웨어 공격, 대규모 사기, 데이터 절도 등을 수행할 때 신원을 감출 수 있게 했습니다. 이 서비스는 러시아어 사이버 범죄 포럼인 Exploit[.]in 및 XSS[.]is 등에서 법 집행을 회피하는 도구로 홍보되었습니다.
국제 작전은 5월 19일~20일에 진행됐으며, 당국은 서비스 관리자 인터뷰, 우크라이나 주택 수색, 33대 서버 폐쇄, 전 세계 사이버 범죄 활동을 지원하던 인프라 압수 등 일련의 동시 조치를 취했습니다.
압수된 도메인 이름은 다음과 같습니다.
- 1vpns[.]com
- 1vpns[.]net
- 1vpns[.]org
- 토르 네트워크에서 운영되는 관련 온ion 도메인
Eurojust는 “First VPN 웹사이트는 익명성을 강조하며, 어떠한 사법 당국에도 협조하지 않을 것, 데이터를 저장하지 않을 것, 그리고 서비스가 어떠한 관할권에도 종속되지 않을 것”이라고 밝혔습니다(출처).
미국 연방수사국(FBI)은 이번 작전과 동시에 “이 서비스는 2014년경부터 운영돼 27개국에 걸쳐 32개의 종료 노드 서버를 제공했다”고 알렸으며, 그 중 미국에 위치한 종료 노드 3곳은 다음과 같습니다.
- 2.223.66[.]103
- 5.181.234[.]59
- 92.38.148[.]58
다른 종료 노드들은 호주, 오스트리아, 벨기에, 캐나다, 키프로스, 핀란드, 프랑스, 독일, 홍콩, 이탈리아, 라트비아, 룩셈부르크, 몰도바, 네덜란드, 파나마, 폴란드, 루마니아, 러시아, 세르비아, 싱가포르, 스페인, 스웨덴, 스위스, 터키, 우크라이나, 영국 등에 위치해 있었습니다(아카이브).
최소 25개의 랜섬웨어 그룹(예: Avaddon Ransomware)이 First VPN 인프라를 이용해 네트워크 정찰 및 침투를 수행한 것으로 알려졌으며, 구독 기간은 하루에서 1년까지 다양했습니다. 구독 요금은 하루에 $2부터 연간 $483까지였으며, 결제 수단으로는 비트코인, Perfect Money, Webmoney, EgoPay, InterKass 등을 받았습니다.
FBI는 “First VPN Service는 OpenConnect, WireGuard, Outline, VLess TCP Reality 등 여러 연결 프로토콜과 OpenVPN ECC, L2TP/IPSec, PPTP 등 다양한 암호화 옵션을 제공했다”고 밝혔습니다(PDF).
“기술 지원은 자체 호스팅된 Jabber 서버와 텔레그램 암호화 메신저 서비스를 통해 제공되었으며, VPN 프로토콜 옵션 중 ‘VLESS’와 ‘Reality’를 제공해 VPN 트래픽을 일반 웹사이트 접속에 흔히 사용되는 포트의 HTTPS 트래픽으로 위장할 수 있었다”고 전했습니다.
Internet Archive에 저장된 스냅샷(링크)에 따르면 First VPN은 “익명성, 안정성, 보안”을 내세우며 “특정 기간 동안 IP 주소와 서비스를 이용한 사용자를 연결시킬 수 있는 로그는 저장하지 않는다”고 주장했습니다.
“우리가 저장하는 유일한 데이터는 이메일과 사용자명뿐이며, 사용자의 인터넷 활동을 우리 서비스의 특정 사용자와 연결시키는 것은 불가능하다”고 덧붙였습니다.
책임 회피를 위해 First VPN은 FAQ에서 자체 서버를 불법 행위에 사용하는 것을 ‘엄격히’ 금지한다고 명시했으며, “이로 인해 서버에 대한 불만이 접수되면 해당 서버는 차단될 것”이라고 적었습니다.
이 기사가 흥미로우셨나요? 더 많은 독점 콘텐츠를 보려면 Google News, Twitter 및 LinkedIn을 팔로우하세요.