기술 기업과 인프라 랜섬웨어 공격으로 알려진 러시아 사이버 범죄 조직 레빌(REvil) 웹사이트가 미국과 동맹국에 의한 해킹 작전으로 오프라인 상태가 됐다는 보도가 나왔다. 레빌은 2021년 7월 갑자기 다크웹에서 사라졌다가 9월 부활했다.
러시아를 거점으로 하는 해커 집단인 레빌은 대만 PC 제조사인 에이서, 브라질 육류 대기업인 JBS, 매사추세츠주 페리 기업인 스팀십 등을 랜섬웨어 공격하고 몸값을 요구한 것으로 알려져 있다. 2021년 7월 IT 관리 서비스인 카세야(Kaseya)에 건 대규모 공급망 공격에선 1,500여 개가 영향을 받았다고 한다.
레빌은 훔친 정보 누출과 몸값 수령을 위해 다크웹에 해피블로그(Happy Blog)라는 웹사이트를 운영하고 있었다. 그런데 카세야 공격 직후 갑자기 해피블로그가 사라졌다는 것이다. 일시적으로 인터넷에서 사라졌지만 9월 다시 해피블로그는 온라닌 상태가 된 것으로 판명됐다. 처음에는 레빌이 스스로 온라인화한 게 아니라 법 집행 기관이 어떤 이유로 부활시킨 것이라는 추측도 있었지만 레빌 측에 따르면 랜섬웨어 공격이 발생했고 부활은 레빌 자체 의사에 의한 것이라고 한다.
하지만 10월 17일 또 다시 해피블로그가 오프라인이 됐다. 한 보안 연구자(Dmitry Smilyanets)가 다크웹 해커 포럼에서 찾은 레빌 운영자 0_neday 기록에 따르면 레빌 전 멤버 키를 이용해 액세스해 서버가 침해되어 해피블로그가 오프라인이 되어버렸다는 것이다.
보도에 따르면 제보한 민간 사이버 전문가와 전직 정부 기관 직원은 해피블로그 오프라인화는 FBI와 미국 사이버 사령부 등 첩보 기관을 포함한 여러 국가팀에 의해 실행됐다고 한다. FBI는 카세야에 대한 공격 직후 레빌에 해킹을 걸어 네트워크 인프라 일부를 제어하는데 성공했다고 한다. 7월 폐쇄된 레빌은 9월 해피블로그는 이미 FBI가 제어하는 상태가 됐고 내부 시스템을 이용해 재부팅하자 FBI가 해피블로그를 폐쇄할 수 있었다고 한다.
이번 작전에 대해 잘 아는 인물은 레빌 컴퓨터 아키텍처에 침입해 해킹을 실행한 건 미국 동맹국 파트너였다고 한다. 다른 이들은 레빌에 대한 작전은 여전히 진행 중이라고 말하기도 했다. FBI는 이번 작전에 대한 의견을 앞두고 백악관 국가보장회의 대변인도 직접적인 언급은 피했다. 대신 간단히 말해 정부 전체가 랜섬웨어에 대해 최선을 다하고 있으며 여기에는 랜섬웨어 인프라와 파괴, 민간 부문과 협력해 방어 업그레이드, 랜섬웨어 배후를 숨긴 국가에 책임을 갖게 하는 국제연합 구축 등이 포함되어 있다고 밝히고 있다. 관련 내용은 이곳에서 확인할 수 있다.