유로폴의 '작전 모페우스'는 사이버 범죄와의 전쟁에서 거의 600개의 코발트 스트라이크(Cobalt Strike) 서버를 해체하는 데 성공했다. 이번 성과는 여러 국가와 사법기관, 그리고 민간 부문의 파트너들이 참여한 가운데, 악의적인 행위자들이 사이버 보안 도구를 악용하는 것을 막기 위한 중요한 계기가 됐다는 평가를 받고 있다.
지난 6월 24일부터 6월 28일까지 유로폴은 합법적인 침투 테스트 도구인 Cobalt Strike의 라이센스 없는 버전을 타겟으로 한 일주일 간의 작전을 진행했다. 이번 작전으로 범죄 활동과 관련된 690개의 IP 주소가 확인되었으며, 이 중 593개가 차단되었다.
작전 모페우스에는 호주, 캐나다, 독일, 네덜란드, 폴란드, 미국, 영국의 사법기관이 참여했다. 영국의 국가범죄청이 주도한 이번 작전에는 BAE 시스템즈 디지털 인텔리전스, 트렐릭스, 스팸하우스, abuse.ch, 섀도우서버 재단과 같은 민간 파트너들이 스캐닝, 텔레메트리, 분석 기능을 제공하며 중요한 지원을 했다.
2021년부터 조사를 시작한 유로폴은 조사 기간 동안 거의 120만 개의 침해 지표를 포함한 730여 개의 위협 정보를 공유했다. 유로폴의 유럽 사이버 범죄 센터(EC3)는 작전 주간 동안 사법기관과 민간 파트너 간에 40회 이상의 조정 회의를 열며 글로벌 노력을 조율하기 위해 가상 지휘소를 설치했다.
Fortra(구 Help Systems)에서 개발한 Cobalt Strike는 원래 합법적인 보안 테스트를 위한 도구로 설계되었으나, 사이버 범죄자들, 특히 러시아, 중국, 베트남, 이란 등 국가 후원 위협 행위자들에 의해 널리 사용되고 있다. 이들은 Cobalt Strike를 사용해 원격 접근을 제공하는 툴을 배포하고 데이터 탈취와 랜섬웨어를 배포했다.
유로폴의 노력 외에도 마이크로소프트 및 Fortra와 같은 기업들은 악의적인 Cobalt Strike 서버를 식별하고 폐쇄하는 데 적극적이었다. 2023년 4월에는 Microsoft, Fortra, Health-ISAC 등이 협력하여 Cobalt Strike의 불법 복제본을 호스팅하는 서버를 타깃으로 하는 법적 조치를 취했다.
작전 모페우스는 국제 협력과 공공 및 민간 부문의 참여가 사이버 범죄와 싸우는 데 얼마나 중요한지 보여준 좋은 사례라 할 수 있다.
