일련의 Opsec 실패로 인해 미국 당국이 Redline 비밀번호 도용 악성 코드의 개발자로 추정되는 인물을 찾아낸 방법

미국 검찰이 악명 높은 Redline 비밀번호 도용 악성 코드의 개발 및 배포에 관여한 혐의로 러시아 국적의 Maxim Rudometov를 기소했습니다.

혐의는 “매그너스 작전”의 일환으로 발표되었습니다. 월요일 네덜란드 경찰이 처음으로 발표했습니다. 이 작업이 진행되는 동안 국제 법 집행 기관은 수백만 명의 민감한 정보를 훔치는 데 사용된 두 가지 악성 코드 변종인 Redline과 Meta의 인프라를 해체했습니다.

화요일 공개된 불만 사항에서는 일련의 운영 보안(또는 “opsec”) 오류로 인해 당국이 루도메토프를 식별하게 된 경위가 밝혀졌습니다. 기소장에 따르면, 루도메토프는 당국에 알려진 Yandex 이메일 계정을 사용하여 러시아어 해킹 포럼에 계정을 등록했으며, 여기서 그는 스카이프와 아이클라우드를 포함한 다른 플랫폼에서 재사용되는 몇 가지 닉네임을 사용했습니다.

미국 당국은 루도메토프의 아이클라우드 계정에서 “안티바이러스 엔진에 의해 악성 코드로 식별된 수많은 파일을 포함해 적어도 하나는 레드라인으로 확인된 파일”을 포함해 파일을 복구할 수 있었다고 밝혔습니다.

고소장에 따르면 Rudometov는 또한 동일한 Yandex 이메일 주소를 사용하여 러시아 소셜 네트워킹 서비스 VK에서 공개적으로 볼 수 있는 프로필을 만들었습니다. 당국은 Rudometov가 Redline의 이전 블로그 게시물에서 발견된 광고에 묘사된 개인과 “매우 유사해 보였다”는 사실을 발견했습니다. 광고는 “봇넷 및 도둑 작성”에 대한 개인의 기술을 홍보했습니다.

고소장에 따르면 Rudemetov는 또한 VK 데이트 웹사이트에서 자신의 해킹 별명 중 하나인 “ghacking”을 사용한 것으로 알려졌습니다.

2021년 8월 익명의 보안 회사로부터 제보를 받은 후, 미국 당국은 Redline이 사용하는 서버 중 하나에서 발견된 데이터를 분석하기 위한 수색 영장을 발부받았습니다. 이 서버는 IP 주소와 동일한 Yandex에 등록된 Binance를 포함한 추가 정보를 제공했습니다. 계정: Rudometov를 유명한 정보 도둑의 개발 및 배포에 연결합니다.

DOJ는 화요일에 “Rudometov는 Infostealer Redline의 인프라에 정기적으로 액세스하고 관리했으며 지불금을 받고 세탁하는 데 사용되는 여러 암호화폐 계정과 연결되었으며 Redline 악성 코드를 소유하고 있었습니다”라고 밝혔습니다. 불만 사항에 따르면 Redline은 미국 국방부에서 사용하는 “수백 대”의 컴퓨터를 포함하여 2020년 2월부터 전 세계 수백만 대의 컴퓨터를 감염시키는 데 사용되었습니다.

Rudometov가 체포되었는지는 아직 알려지지 않았습니다. 유죄가 확정될 경우 그는 최대 35년의 징역형을 받을 수 있다.

유로폴과 네덜란드 경찰도 화요일 마그누스 작전(Operation Magnus)에 대한 자세한 정보를 공개했는데, 네덜란드에서 서버 3대가 오프라인 상태가 되었고 레드라인(Redline)과 메타(Meta)의 명령 및 통제 작전에 사용된 도메인 2개가 압수됐다는 사실이 드러났습니다.

당국은 또한 악성 코드와 관련된 여러 텔레그램 계정을 폐쇄했으며, 이로 인해 “도둑의 판매가 중단”되었으며, 악성 코드 고객을 포함해 2명이 벨기에에서 체포되었습니다.