北朝鮮のスパイ、GoogleのFind Hubをリモートワイプ兵器に転用

北朝鮮が支援するスパイたちは、自らのサイバースパイ活動の証拠を消し去る新たな方法を見つけました。それは、Googleの「Find Hub」サービスを乗っ取り、韓国の標的が所有するAndroidスマートフォンをリモートでワイプ（初期化）するというものです。

韓国のサイバーセキュリティ企業Geniansの研究者は、長年活動しているKONNIグループによるこのキャンペーンが、Googleのデバイス管理機能を悪用し、侵害されたスマートフォンやタブレットで工場出荷時リセットを実行したと述べました。複数のケースで、被害者のデバイスは無断でワイプされ、侵入の痕跡となりうるメッセージや写真、その他のデータが消去されました。

「最近確認されたKONNIキャンペーンは、韓国国内のGoogle AndroidベースのスマートフォンやタブレットPCがリモートでリセットされ、デバイスに保存されていた個人データが無断で削除された事例で特に注目されます」とGeniansは分析で述べています。

KONNIグループは長年にわたり北朝鮮の情報機関と関連付けられており、ソウルの政府、軍、シンクタンク部門を標的とした諜報活動の歴史があります。今回のキャンペーンは、モバイルに焦点を当てた戦術のエスカレーションを示しており、平壌のサイバーオペレーターが正規のクラウドサービスを利用して活動を隠し、被害者のデバイスを制御する能力がますます高まっていることを示しています。

Geniansによると、攻撃者はスピアフィッシングや偽のログインページを通じて収集したGoogleアカウントの認証情報を使い、Find My Deviceプラットフォーム上の被害者のプロフィールにアクセスしました。この機能は、ユーザーが紛失した携帯電話の位置特定やロック、工場出荷時リセットを可能にしますが、知らぬ間に破壊工作の道具となりました。ログイン後、ハッカーはリモートワイプを実行でき、被害者を自分の携帯電話から締め出し、侵害の証拠を消し去ることができました。

感染の連鎖は、被害者が韓国で人気のメッセージアプリKakaoTalkを通じて接触されることから始まりました。攻撃者は無害に見せかけたファイルを送り、署名付きMSI添付ファイルやZIPをインストールさせ、AutoITスクリプトを使ってRemcosRAT、QuasarRAT、RftRATなどのRATを展開しました。これらのツールはGoogleやNaverのアカウント認証情報を収集し、攻撃者がクラウドサービスを操作したり、Find My Deviceを使ってデバイスを遮断したりできるようにしました。

リセット直後、攻撃者は被害者がまだログインしたままのKakaoTalkデスクトップアプリを悪用し、マルウェアを含むファイルを被害者の連絡先に送信したと報告されています。これにより、侵害されたアカウントが二次感染の経路となりました。この迅速な二次攻撃フェーズにより、KONNIのオペレーターは被害者がワイプされたデバイスに再びアクセスする前にペイロードを拡散できました。

追加調査では、攻撃者がFind My DeviceのGPS位置情報機能を利用し、標的が屋外にいるタイミングを特定して、迅速に反応できない状況を狙っていたことが判明しました。ある事例では、攻撃者はワイプコマンドを1回だけでなく3回実行し、デバイスの復旧をさらに遅らせ、被害者が締め出された状態を維持しました。

この戦術は、オンラインIDシステムに紐づいた「紛失デバイス」機能に依存するすべての人にとってリスクが高まっていることを浮き彫りにしています。盗難された携帯電話をリモートでリセットできる機能は本来セキュリティ対策として設計されていますが、アカウント認証情報が盗まれた場合、攻撃者にとって証拠を消したり混乱を引き起こしたりする簡単な手段にもなります。

KONNIによるAndroidワイプの利用は、Windowsマルウェアキャンペーンや文書・認証情報の窃取を目的としたフィッシング攻撃など、従来型の諜報戦術に続くものです。同グループは以前にも、北朝鮮政策文書や政府書類を装ったカスタムバックドアを展開しており、Kimsukyを含む他のDPRK系グループとインフラを共有していることも観測されています。

Geniansは、Find My Deviceツールの利用者に多要素認証や生体認証の有効化を推奨しています。しかし、KONNIの最新の手口による被害者にとっては、すでに被害が発生しています。Google自身のサービスを通じて工場出荷時リセットが実行されると、元に戻すボタンはありません。残るのは初期化された携帯電話と、国家ハッカーが証拠を消し去った痕跡だけです。®