Feds disrupt monster IoT botnets behind record-breaking DDoS attacks

Context

수백만 개의 보안이 취약한 IoT 장치(라우터, IP 카메라, DVR)들이 기본 인증정보와 오래된 펌웨어로 운영되고 있으며, 이들이 대규모 봇넷의 모집 풀로 활용되고 있다. 봇넷 운영자들이 DDoS-for-hire 서비스와 협박 등으로 봇넷 접근 권한을 화폐화하는 사이버범죄 생태계가 형성되어 있다.

Technical Solution

• 봇넷 명령통제 인프라 장악: Aisuru, KimWolf, JackSkid, Mossad의 도메인 및 백엔드 시스템 압수
• 명령 전달 경로 차단: 감염된 장치들이 공격 대상과 시간 정보를 수신하는 명령 채널 무효화
• 다국가 협력 운영: 미국 국방부, 독일, 캐나다 당국이 조율하여 동시 실행
• 300만+ 감염 장치 타겟팅: 전 세계에 분산된 3백만 개 이상의 인터넷 연결 장치 대상 중단

Impact

• 최대 공격 규모: 31.4 테라비트/초(Tbps) 피크 트래픽 생성 능력 무력화
• 공격 범위: 300만 개 이상 감염 장치에서 수십만 건의 DDoS 공격 차단
• 미 국방부 시스템을 포함한 고가치 목표 대상 공격 중단

Key Takeaway

명령통제 인프라 차단은 단기적 피해 감소는 가능하지만, 기본 보안 관행(강력한 기본 인증정보 설정, 펌웨어 정기 업데이트)이 없는 한 다음 세대 봇넷의 모집 수단이 되는 IoT 장치들이 계속 위협으로 남아있다.