해당 Botnet을 검거하는 과정에서 스페인 보안 업체 Panda Security가 참여를 한 것으로 알려져 있으며, 해당 업체에서 공식적으로 그 동안의 일을 소개한 글이 있어서 간략하게 정리를 해 보았습니다.
참고로 해당 Mariposa Botnet은 190여개 국가의 컴퓨터 1,200만대 이상을 감염 시켰으며, Fortune 1,000 업체 중 절반 이상의 컴퓨터를 감염시켰을 뿐만 아니라 40개 이상의 은행도 감염을 시킨 것으로 알려진 악성봇입니다.
해당 Botnet은 2009년 5월경에 처음으로 존재가 알려지기 시작하였으며, 해당 Botnet 운영자를 체포하고 Botnet을 제거하기 위해 스페인 보안 업체 Panda Security, 캐나다에 위치한 Defense Intelligence Inc. 보안 업체와 법 관련 전문가로 구성된 Mariposa Working Group(MWG)을 조직하였다고 합니다.
Mariposa Botnet Command & Control(C&C) 운영자 일당은 자신들의 IP 주소를 노출시키지 않으려고 익명의 VPN(Virtual Private Network) 서버를 통해 C&C 서버를 조정하여 그들의 위치를 확인하기 어렵게 만들어서, 보안 전문가들은 Mariposa Botnet C&C 서버를 크랙(Crack)하여 통제권을 빼앗아 버리게 됩니다.
해당 통제권을 잃어버린 일당은 다시 Botnet 통제권을 되찾으려 했으며, 그런 과정에서 일당은 치명적인 실수를 하게 되는데 바로 VPN(Virtual Private Network) 서버를 통한 접속이 아닌 그들의 집에서 접속을 시도하게 됩니다.
이들은 다시 Mariposa C&C 통제권을 되찾아서 그들이 소유한 모든 Botnet을 이용하여 Defense Intelligence Inc.에 대해 Distributed Denial of Service(DDoS) 공격을 시작하였고, 이 공격으로 ISP에 영향을 주어 수시간 동안 캐나다 대학, 정부 기관의 인터넷 접속이 불가능하게 되었다고 합니다.
그 이후, Mariposa Working Group(MWG)에서는 다시 한 번 Mariposa에 그들이 접근하지 못하게 조치를 하였고, 이번에는 DNS Record 값을 변경하여 C&C 서버에 접속하지 못하게 하였습니다. 그리고 해당 C&C 서버와 연결된 IP가 1,200만개 이상임을 확인하였다고 합니다.
2010년 2월 3일 스페인 경찰은 해당 Mariposa Botnet C&C 운영자(31살)를 체포하였고, 나머지 2명은 2010년 2월 24일 각각 체포하였다고 합니다.
재미있는 사실은 이들은 이전에 범죄 기록이 없는 사람들이며, 제한적인 해킹 기술만을 가진 사람들이라는 점입니다.
이들이 이런 Botnet을 운영할 수 있었던 이유는 아마 Mariposa Botnet을 운영하는데 필요한 Kit이 존재하였기 때문에 높은 수준의 전문가가 아니라도 운영이 가능했을 것으로 보입니다.
현재도 여전히 조사가 진행되고 있으며 현재 알려진 조사 결과에 따르면 이들은 80만명의 개인정보를 수집하여 보관 중이었으며, 해당 Botnet에 감염된 PC를 수리하는데 수천만 달러가 소요될 것으로 추정됩니다.
Mariposa Botnet의 유포 방식은 Microsoft Internet Explorer 보안 취약점, 감염된 USB 메모리를 통한 유포, MSN 메신저를 통한 악성 링크를 통한 유포 방식으로 감염을 시킨 것으로 알려져 있습니다.
개략적인 사건의 개요는 이와 같으면 이런 대규모 악성봇을 실제 운영하는 범죄 집단을 잡는데 1년 이상의 시간이 소요될 수 있으며 운이 좋아서 잡지 않았나 생각됩니다.
해당 C&C 서버는 내려졌지만 좀비PC로 이용당하던 컴퓨터들은 여전히 감염된 상태로 존재하고 있으므로 실제 Botnet의 활동에 대해서는 더 지켜봐야 할 것으로 보입니다.