Colonial Pipeline 랜섬웨어 공격자 주소 추적
Blog/외부 Blog

Colonial Pipeline 랜섬웨어 공격자 주소 추적

※ 본 게시물은 'PLAINBIT' 재직 당시 작성한 블로그 글을 공유하는 것입니다.

원문 참고 : https://blog.plainbit.co.kr/colonial-pipeline-ransomware/

※ 본 게시글의 암호화폐 주소 추적은 BIG의 암호화폐 추적 솔루션인 "QLUE"를 사용했습니다.

1. 사건 개요

[그림 1] 콜로니얼 파이프라인 사건 관련 cctvnews 기사

- https://www.widedaily.com/news/articleView.html?idxno=229908

[그림 2] 콜로니얼 파이프라인 사건 관련 itworld 기사​

- https://www.itworld.co.kr/news/197089

1-1) 공격 관련

  • 2021년 4월 공격 그룹은 유출된 VPN 비밀번호를 사용해 미국의 정유 회사인 Colonial Pipeline 社의 컴퓨터 네트워크에 접근
  • 2021년 5월 6일(현지시간) Colonial Pipeline 社의 100GB 가량 데이터가 탈취됨
  • 2021년 5월 7일(현지시간) Colonial Pipeline 社에 랜섬웨어 공격 발생
  • 공격 그룹은 랜섬웨어 몸값 BTC를 지불받은 후 복호화 도구 전달​

1-2) Colonial Pipeline 측의 대응

  • 랜섬웨어가 컴퓨터 시스템을 장악해 송유관을 제어하는 것을 막기 위한 예방 조치로 송유관 가동을 중단
  • 2021년 5월 8일(현지시간) 해커 집단에게 75 BTC 지급 (당시 약 440만 달러)
  • 2021년 5월 12일(현지시간) 송유관 가동을 재개​

1-3) 영향

  • 송유관 폐쇄로 인근 지역의 연료 부족 및 유가 상승 사태 발생
  • 2021년 5월 9일(현지시간) 조 바이든 미 대통령이 비상사태를 선포
  • 미 국무부는 DarkSide 회원의 체포로 이어지는 정보를 제공할 경우 $10,000,000의 보상금을 지급할 것이라는 성명을 발표
  • FBI가 랜섬웨어 몸값 비트코인을 몰수했다고 발표하자 비트코인 시세가 하락​

1-4) FBI 측의 대응

  • FBI는 공격 집단이 러시아에 위치를 둔 DarkSide 랜섬웨어 그룹으로 판단
  • 공격 그룹에 랜섬웨어 몸값을 지불하는 과정 지휘
  • 2021년 6월 7일(현지시간) FBI는 지불된 75 BTC 중 약 63.7 BTC (당시 약 230만 달러)를 회수하는데 성공​

1-5) Bitcoin 시세 하락

https://x.com/adam3us/status/1402182785205518337

FBI가 해커 그룹으로부터 비트코인을 몰수했다고 발표한 뒤 많은 사람들은 비트코인이 해킹당했다고 생각했고, 비트코인 체계가 취약하다는 이야기가 퍼지게 되어 비트코인의 시세가 하락했다.이에 Blockstream 최고 경영자 Adam Back은 트위터에 비트코인 지갑이 해킹당한 것이 아니며 이는 불가능하고, FBI가 랜섬웨어 공격자가 사용하는 클라우드 서버에 대한 제어권을 획득하고 코인을 가져온 것이라고 했다.

 

2. Colonial Pipeline 측에서 지불한 비트코인 추적​

2-1) 비트코인 압수 영장 발부

[그림 3] Colonial Pipeline 랜섬웨어 감염 사건 관련 압수 영장 중 일부

- https://www.justice.gov/d9/press-releases/attachments/2021/06/08/darkside_affidavit.pdf

Colonial Pipeline 사건의 공격자로 알려진 Darkside 그룹이 소지한 비트코인에 대한 압수 영장이 발부됐다. 75 BTC가 전송되었으나 공격자 내부 트랜잭션 도중, 63.7 BTC와 11.25 BTC로 나뉘어졌고 추적 및 몰수가 가능한 63.7 BTC에 대해서 압수를 명시했다.​

2-2) 압수 대상 비트코인 추적 과정

[그림 4] Colonial Pipeline 측 비트코인 전송 과정 중 일부(1)

2021년 5월 8일 17:12(UTC)피해자가 소유한 Gemini 거래소의 지갑 주소인 bc1quq29mutxkgxmjfdr7ayj3zd9ad0ld5mrhh89l2 에서 Darkside 랜섬웨어 그룹의 지갑 주소인 15JFh88FcE4WL6qeMLgX5VEAFCbRXjc9fr 로 75 BTC가 전송됐다.​

이어지는 내용은 회사 블로그를 참고해주세요^^

저작자표시 비영리 변경금지

'Blog > 외부 Blog' 카테고리의 다른 글

Apollo X 거래소 해킹 공격자 주소 추적  (0) 2024.05.30
Euler Finance Flash Loan Attack 분석  (0) 2024.05.30
암호화폐 추적 솔루션 'QLUE' 그래프 이해  (0) 2024.05.30
비트코인 주소 추적을 위한 클러스터링과 휴리스틱 알고리즘  (0) 2024.05.30
카테고리 소개  (0) 2024.05.30

    티스토리툴바