見出し画像

(S2W独自)韓国環境部(「省」に相当)のソースコード流出事件の概要

Darkpedia: サイバー犯罪のダークトレンド

こんにちは、S2W NOTE編集です。

この度S2Wでは、韓国環境部(「省」に相当)のソースコード流出事件に関する概要を独自にまとめました。

該当省のソースコードの流出を主張する「IntelBroker」に関するプロファイリング情報もまとめましたのでご確認ください。以下がその内容になります。


✅レポートの要約

ディープ・ダークウェブユーザー「IntelBroker」が最近、韓国の環境部のソースコードを流出したことが確認されました。同事件などに関して簡単なタイムラインを含む内容をサマリーの形でご紹介します。

今年初め、ダークウェブハッキングフォーラム「Breachforums」で、ユーザー「IntelBroker」が韓国の環境部から流出したと主張するソースコードの販売状況をまとめました。

■「IntelBroker」について

- 「IntelBroker」は、2022年10月からディープ・ダークウェブ上で活動を開始し、世界23か国の企業に対するランサムウェアアクター・データブローカーとして活動するハッカーです。

- 活動初期の2022年10月から2023年3月には主にランサムウェア「Endurance」の開発・運営者として活動していました。
ランサムウェア活動後も攻撃した企業のデータベース、アクセス権限、脆弱性などをフォーラム内で流出・販売し、4,000以上の評価を受けるなど活動が目立っていました。
当時、個人でランサムウェア攻撃活動を行っていましたが、その後「CyberNiggers」や「Valhal.la」などのハッキンググループに参加し、グループメンバーとしての活動を並行して進めました。

- 2024年4月、「Breachforums」のモデレーター(管理者)レベルのユーザーとなり、フォーラムの管理者としての活動を開始しました。
フォーラムでの「IntelBroker」の活動とオンラインメディア『The Cyber Express』で行われたインタビュー内容に基づき分析した結果、当該ユーザーは成人でセルビア国籍だと推定されます。

- 2024年12月28日と2025年1月1日に、「CyberNiggers」所属の「IntelBroker」と「EnergyWeaponUser」が韓国の環境部に対して攻撃を実施し、流出したウェブサイトのソースコードを販売した状況が確認されました。詳細は以下の通りです。

■事件に関する概要(時系列)

1) 2024年12月28日:韓国の環境部公式X(旧Twitter)に「IntelBroker」と「EnergyWeaponUser」によって投稿されたと見られるツイート2件が確認されました。
「North Korea is the best Korea」(!)という内容と攻撃の痕跡を残すため「Breached By IntelBroker & EnergyWeaponUser」という内容で公開されており、当該ツイートは2024年12月30日基準で全て削除されたことが確認されました。
両ユーザーは主に、ダークウェブハッキングフォーラム「Breachforums」で「CyberNiggers」グループとして活動しており、「IntelBroker」が環境部のXに投稿したツイートを自身のアカウントでリツイートすることで攻撃の事実を明らかにしました。

2) 2024年12月29日: 「IntelBroker」が自身のXを通じて、環境部のXアカウントでツイートした際に使用した方法を一部公開しました。「IntelBroker」は環境部のXアカウントに2FAが設定されており、X APIを通じてツイートしたと述べました。(原文: they had 2FA on so we just used the twitter API to send the tweets)

3) 2025年1月1日:「Breachforums」で「IntelBroker」が韓国の環境部から流出したと主張するソースコードの販売に関する投稿をアップしました。
「IntelBroker」は約1年前の2024年1月に流出したソースコードであると述べ、更にその投稿の中で、韓国の環境部のXアカウントを使ってツイートした内容にも言及しました。
漏洩したソースコードは、環境部国家微細粉塵情報センターのウェブサイト(air[.]go.kr)のソースコードと見られ、ウェブページと管理者ページのソースコードの両方が含まれていることが確認できます。
ソースコード内のX認証に使用されるoauth資格情報がハードコードされた状態で確認され、その資格情報とX APIを利用して環境部のXアカウントでランダムにツイートしたものと思われます。

✅脅威検出の推奨事項と対策

今回の漏洩事故は、Xアカウントに2FA認証などの追加ログイン認証手段を使用していたにもかかわらず、漏洩したソースコード内に記載されているAPI資格情報を利用して2次被害が発生したものです。
2段階認証手段を使用するほか、開発過程で使用された資格証明情報の厳密な管理を通じてデータ漏洩に伴う追加被害が発生しないよう注意が必要です。