北朝鮮スパイのコンピュータハッキングでスパイ活動の実態が明らかに

国家スパイの暴露

標的は普通のスパイではなく、ハッカーたちが「キム」と呼ぶ北朝鮮の高度持続的脅威（APT）部隊「キムスキー」の現役工作員だった。Saberとcyb0rgは、彼のコンピューター上で国家スパイ活動の道具、つまり悪意のあるソフトウェア、ネットワーク侵入ツール、そして安全なシステムに侵入するために設計されたコードを発見したと述べている。

デジタル兵器の中には、閲覧履歴からWindowsとLinuxマシン間で転送されたファイルに至るまで、画面の向こう側にいた男の痕跡が混じっていた。彼は人気のハッキングフォーラムを定期的に訪れ、オープンソースのコーディングプロジェクトをフォローし、オンライン活動を隠蔽するために複数のVPNサービスに加入していた。記録には、彼がネットワーク上の他のコンピュータにリモートログインしていたことも示されていた。

彼が注意深く運用上のセキュリティを講じたとしても、Phrack でその財宝が明らかになるのを防ぐことはできなかった。

韓国が標的に

キム氏のコンピューターから取得されたファイルには、韓国国防諜司令部やその他の政府機関に対するフィッシング攻撃のログが含まれていた。攻撃の一部は、侵入のわずか3日前に発生していた。

ログには、標的のメールアドレス、サーバーの詳細、そして被害者を騙して認証情報を渡させるために使用されたツールが記載されていました。ハッカーによると、この攻撃では、標的を偽のウェブサイトに誘導し、その後、本物の政府ポータルに誘導することで、盗難の検知を困難にしていました。

回収されたデータの中には、韓国外務省の公式メールプラットフォームであるKebiの完全なソースコードも含まれていました。アーカイブには、コアコードからウェブ、モバイル、管理インターフェースに至るまで、システムの主要コンポーネントがすべて含まれていました。

タイムスタンプから、この資料はごく最近に持ち出されたことが示唆される。韓国の外交通信にとって重要なチャネルであるKebiの漏洩は、政府の機密文書や内部業務に危険を及ぼす可能性がある。

中国も関与していたのか？

侵害されたデータに隠された手がかりは東を指し示している。工作員の閲覧履歴には、中国語のハッキングサイトやフォーラムに加え、オンライン翻訳ツールを使って台湾政府や軍のウェブサイトを閲覧していたことが含まれていた。また、Google翻訳を使って技術的なエラーメッセージを中国語に翻訳していた。

これらのパターンは、中国と北朝鮮のハッカーの間で作戦が重複している可能性を示唆している。しかし、独立した確認がなければ、これが積極的な協力関係を示しているのか、リソースを共有しているのか、それとも広く入手可能な中国語ツールを単一のハッカーが利用しているだけなのかは不明である。

中国側の関与は依然として不透明だが、平壌のハッカーたちは決して手をこまねいているわけではない。ここ数ヶ月、仮想通貨窃盗から高価値技術を狙ったカスタムマルウェアまで、多岐にわたる攻撃が繰り広げられている。

 北朝鮮の工作員が盗んだ個人情報と遠隔操作技術を使ってアメリカ企業に侵入し、企業データを盗んだラップトップファーム詐欺に関する当社の報道をご覧ください 。