北朝鮮の国家支援型ハッカーグループ「Kimsuky」が、Kimsukyの価値観とは正反対だと自称する2人のハッカーによってデータを盗まれ、グループの情報がオンライン上で公開されるというデータ漏洩被害に遭ったと報じられています。
『Saber』と『cyb0rg』と名乗る2人のハッカーは倫理的な理由から行動したと述べ、Kimsukyは「間違った理由でハッキングしている」と主張。政治的な目的で動き、体制の命令に従っているだけで、独立したハッキングの技術を実践していないと批判しています。
「Kimsuky、お前たちはハッカーではない。金銭的な欲望に駆られ、指導者を富ませ、彼らの政治的な目的を果たすために動いているだけだ」と、DEF CON 33カンファレンスで配布された最新号のPhrackに掲載されたKimsukyへの声明には記されています。
「お前たちは他人から盗み、自分たちを優遇する。自分自身を他人よりも大切にしている。お前たちは道徳的に堕落している。」
このハッカーたちはKimsukyのバックエンドの一部を公開し、彼らのツールや盗まれたデータの一部を暴露しました。これにより、これまで知られていなかったキャンペーンや未記録の侵害についての手がかりが得られる可能性があります。
現在『Distributed Denial of Secrets』のウェブサイトで公開されている8.9GBのダンプには、以下のようなものが含まれています:
- 複数のdcc.mil.kr(防衛防諜司令部)メールアカウントを含むフィッシングログ。
- その他の標的ドメイン:spo.go.kr、korea.kr、daum.net、kakao.com、naver.com。
- 韓国外務省のメールプラットフォーム「Kebi」の完全なソースコード(webmail、管理、アーカイブモジュールを含む)が入った.7zアーカイブ。
- 韓国市民の証明書や、大学教授のリストへの言及。
- 検知回避やリダイレクト機能を備えたフィッシングサイト生成用PHP「Generator」ツールキット。
- 稼働中のフィッシングキット。
- VirusTotalで検出されていない未知のバイナリアーカイブ(voS9AyMZ.tar.gz、Black.x64.tar.gz)や実行ファイル(payload.bin、payload_test.bin、s.x64.bin)。
- VMwareのドラッグ&ドロップキャッシュ内で発見されたCobalt Strikeローダー、リバースシェル、Onnaraプロキシモジュール。
- 疑わしいGitHubアカウント(wwh1004.github.io等)へのリンク、Google Pay経由でのVPN購入(PureVPN、ZoogVPN)、ハッキングフォーラム(freebuf.com、xaker.ru)の頻繁な利用を示すChromeの履歴や設定。
- 中国語のエラーメッセージのためのGoogle翻訳の利用、台湾政府・軍事サイトへのアクセス。
- 内部システムへのSSH接続履歴を含むBashの履歴。
これらの一部はすでに知られている、または過去に部分的に記録されたものであると、ハッカーたちは指摘しています。
しかし、このダンプはデータに新たな側面を与え、Kimsukyのツールと活動の関連性を明らかにし、APTのインフラや手法を暴露し、事実上「焼き尽くす」ものとなっています。
BleepingComputerは、漏洩した文書の真偽とその価値を確認するため、複数のセキュリティ研究者に連絡しており、回答が得られ次第、記事を更新する予定です。
この漏洩がKimsukyの活動に長期的な影響を与える可能性は低いものの、Kimsukyにとって運用上の困難や進行中のキャンペーンへの妨害につながる可能性があります。
Phrackの最新号(#72)は現在、限定的な物理コピーのみで入手可能ですが、数日以内にこちらで無料で読めるオンライン版が公開される予定です。
