메뉴
BL
Ars Technica 1일 전

1,700만 대 규모 대규모 봇넷 해체

IMP
8/10
핵심 요약

네덜란드 경찰과 국가사이버안보센터(NCSC)의 합동 단속으로 1,700만 대 이상의 기기를 감염시킨 대규모 봇넷이 해체되었습니다. 이 봇넷은 러시아 기반 프록시 서비스 업체인 ASOCKS와 연결되어 있으며, DDoS 공격 및 피싱 등 범죄 목적으로 악용되었습니다. 보안 전문가의 제보로 시작된 이번 조치는 사이버 범죄의 익명성 우회 기법을 차단했다는 점에서 매우 중요한 의미를 갖습니다.

번역된 본문

네덜란드 당국은 경찰과 국가사이버안보센터(NCSC)의 합동 작전을 통해 200대의 서버로 관리되는 1,700만 대 이상의 기기로 구성된 봇넷을 해체했다고 밝혔습니다. 목요일에 발표된 이번 조치는 한 보안 연구원이 이 거대한 네트워크를 당국에 신고하면서 이루어졌습니다. 해당 호스팅 인프라는 네덜란드에 위치해 있었습니다.

범죄 목적으로 악용 NCSC는 “경찰은 조사를 위해 호스팅 제공업체에서 여러 봇넷 서버를 압수했다”며, “해당 봇넷은 범죄 목적으로 사용되었기 때문에 제공업체에 의해 오프라인 처리되었다”고 밝혔습니다. NL타임스(NL Times)의 목요일 보도에 따르면, 이 봇넷은 주거용 프록시 서비스(Residential proxy)를 제공하는 러시아 기업 ASOCKS와 연결되어 있었습니다. 이러한 서비스는 인터넷 트래픽을 제3자 기기를 통해 프록시 처리하여 자신의 위치나 신원을 숨기려는 개인이나 조직을 대상으로 합니다. 프록시 서비스는 주로 DDoS 공격 실행, 봇넷 명령 및 제어(C2) 서버 운영, 피싱 작업 수행, 웹사이트 콘텐츠 스크래핑과 같은 불법적이거나 비윤리적인 목적으로 사용됩니다.

Ars는 NL타임스의 보도를 독립적으로 확인할 수는 없었지만, 해당 주장은 사실로 확인되었습니다. 목요일 NCSC 게시물은 이 비영리 단체가 하루 전에 게시한 별도의 글과 연결되어 있었으며, 수요일에 게시된 해당 글 역시 목요일 게시물 링크를 추가하기 위해 업데이트되었습니다. ‘주거용 프록시와 네덜란드 디지털 보안에 미치는 큰 영향’이라는 제목의 수요일 게시물은 “주거용 프록시는 익명성을 유지하고 지리적 제한을 우회하는 데 사용됩니다. 이러한 방식으로 네덜란드 조직은 ‘일반’ 트래픽과 유사한 네덜란드 프록시를 통해 공격받을 수 있어 사이버 범죄 완화가 더욱 어려워집니다”라고 경고했습니다.

2024년, 보안 기업 휴먼(Human)은 연구원들이 Proxylib라는 봇넷이 ASOCKS와 연결되어 있다는 증거를 발견했다고 밝혔습니다. 해당 증거에는 (1) ASOCKS 프록시 목록 엔드포인트에서 반환된 Proxylib 감염 IP 주소 및 포트 번호, (2) asocks[.]com에 대한 요청이 감염된 테스트 기기를 통해 나가는 것이 포함되었습니다. 구글 플레이(Google Play)에서 제공되는 28개의 앱이 사용자의 승인 없이 최대 19만 대의 기기를 러시아에 본사를 둔 이 프록시 네트워크에 가입시켰습니다. ASOCKS에 보낸 이메일 질문에 대해서는 답변을 받지 못했습니다.

네덜란드 경찰이 해체한 봇넷에 의해 통제된 1,700만 대의 기기가 어떻게 그렇게 감염되었는지는 명확하지 않습니다. 경우에 따라 이러한 기기는 소프트웨어 취약점 악용이나 악성 앱 설치를 통해 감염됩니다. 어떤 경우에는 앱이 해당 행위를 (주로 아주 작거나 눈에 띄지 않는 글씨로) 명시하기도 하며, 때로는 프록시 설정을 명백히 공개하기도 합니다. 자신의 기기가 봇넷에 흡수되는 것을 방지하려는 사용자는 보안 업데이트를 적시에 설치하고, 더 이상 업데이트를 제공받지 않는 소프트웨어나 기기의 사용을 중단해야 합니다. 앱을 설치하기 전에 신중하게 조사한 후, 진정으로 필요한 경우에만 설치해야 하며, 더 이상 필요하지 않은 앱은 삭제해야 합니다.

*댄 구딘(Dan Goodin) 수석 보안 에디터: Ars Technica의 수석 보안 에디터로 악성코드, 컴퓨터 첩보 활동, 봇넷, 하드웨어 해킹, 암호화 및 비밀번호 관련 보도를 담당합니다.

원문 보기
원문 보기 (영어)
Text settings Story text Size Small Standard Large Width * Standard Wide Links Standard Orange * Subscribers only Learn more Minimize to nav Authorities in the Netherlands said they dismantled a botnet that comprised more than 17 million devices and were managed by 200 servers in a joint operation by the police and the National Cyber Security Center. The action, announced Thursday , came about after a security researcher reported the sprawling network to authorities. The host infrastructure was located in the Netherlands. Used for criminal purposes “The police then seized several botnet servers from a hosting provider for investigation,” the NCSC said. “The botnet was taken offline by the provider because it was used for criminal purposes.” According to a report Thursday by the NL Times, the botnet was linked to ASOCKS, a Russia-based company that provides residential proxy services. These services cater to people and organizations who want to obscure their locations or identities by proxying their Internet traffic through third-party devices. Proxy services are often used for illicit or unethical purposes such as performing DDoS attacks, running botnet command-and-control servers, operating phishing operations, and scraping website content. Ars was unable to independently confirm the NL Times report, but the claim checks out. Thursday’s NCSC post linked to a separate post that the nonprofit organization published a day earlier. That post, in turn, was updated to add a link to Thursday’s post. Wednesday’s post, headlined “Residential proxies and their major impact on digital security in the Netherlands,” warned: “Residential proxies are used to maintain anonymity and circumvent geographical restrictions. In this way, a Dutch organization can be attacked with Dutch proxies that have similarities with ‘regular’ traffic, making cybercrime mitigation more difficult.” In 2024, security firm Human said its researchers found evidence that a botnet named Proxylib was tied to ASOCKS . The evidence included (1) Proxylib-infected IP addresses and port numbers that were returned by an Asocks proxy-list endpoint and (2) requests made to asocks[.]com exiting through an infected test device. Twenty-eight apps available in Google Play had enrolled as many as 190,000 devices into the Russia-headquartered proxy network without user approval. Questions emailed to ASOCKS received no response. It’s unclear how the 17 million devices controlled by the botnet taken down by the Dutch police came to be that way. In some cases, such devices are infected through exploited software vulnerabilities or through the installation of malicious apps. In some cases, apps disclose the behavior, often in small or obscured print. Other times, apps disclose the proxy arrangement outright. People who want to prevent their devices from being swept into botnets should install security updates in a timely manner and resist the urge to continue using software or devices that no longer receive them. People should carefully research apps before installing them and then only when they provide a true benefit. Apps should be uninstalled when they’re no longer needed. Dan Goodin Senior Security Editor Dan Goodin Senior Security Editor Dan Goodin is Senior Security Editor at Ars Technica, where he oversees coverage of malware, computer espionage, botnets, hardware hacking, encryption, and passwords. In his spare time, he enjoys gardening, cooking, and following the independent music scene. Dan is based in San Francisco. Follow him at here on Mastodon and here on Bluesky. Contact him on Signal at DanArs.82. 10 Comments
보안 봇넷 프록시 사이버범죄 네덜란드