北朝鮮のハッカー集団「キムスキー」に中国人が関与していることが確認されたと、米国の北朝鮮専門メディア『NKニュース』が13日(現地時間)に報じた。
同組織は、韓国の産業界や政府、原子力関連機関のほか、ロシア、米国、欧州の機関を標的に攻撃してきた北朝鮮のサイバー犯罪集団とされる。
先週、米ラスベガスで開かれたDEF CONセキュリティ会議で、「サイボーグ(cyb0rg)」と「セイバー(Saber)」の仮名を用いる2人のセキュリティ研究者が、キムスキーのメンバーとみられる人物のコンピューターからデータを窃取したと明らかにした。
研究者らによると、窃取したデータにはバックドア、内部文書、パスワード、ソースコード、コマンドファイル、クライアントリストなど、キムスキーの活動を示す多様な痕跡が含まれていたという。
特に、韓国の外交部、統一部、行政安全部、国防部防諜司令部など政府機関のネットワークへの侵入を試みた形跡があり、スピアフィッシング攻撃の成功を裏付ける内容も含まれていたと指摘した。
また、外交部のメールプラットフォームのソースコードとそのコピーも存在していた。さらに、データを解析した研究者「ネットアスカリ(NetAskari)」は、韓国の国民銀行、NAVER、カカオトーク、台湾のサーバーも攻撃対象となっていたことを確認した。
サイボーグとセイバーは、データを窃取したハッカーが「キム」と名乗っていたとし、その使用インフラやドメイン、攻撃対象がキムスキーと一致することから、同人物がメンバーである可能性が高いと評価した。
2人の研究者は、キムがGoogle翻訳を使って韓国語を中国語簡体字に翻訳し、北朝鮮ではなく中国の祝日に合わせて活動していたことから、中国人であると推測した。また、キムは中国のサイバー諜報組織UNC5221が使用した「ブッシュファイア(Bushfire)」などのツールを利用していたという。
研究者らは、キムが中国のサイバー組織のツールを使用し、台湾を攻撃対象にしていた点から、北朝鮮と中国の双方のために活動していた可能性を指摘した。セイバーは「キムが中国人であり、キムスキーのメンバーであるというのが我々の結論だ」と述べた。
ネットアスカリの研究者は、窃取データに「中国の公式なハッキング作戦に属し、『公式ツール』にアクセスできる人物であることを示すファイルも含まれていた」と明らかにした。これに関連し、セイバーは北朝鮮と中国の国家支援グループが連携している可能性を否定できないと述べた。
一方、オーストラリアのサンシャインコースト大学のデニス・デズモンド講師(サイバーセキュリティ)は、キムの勤務スケジュールから、北朝鮮ではなく中国に滞在していることが示唆されると指摘した。
デズモンドは「軍や情報分野で派遣勤務を行う場合、駐在国の勤務スケジュールに従うのが通例だ。キムは北朝鮮の勤務日に当たっても中国の祝日には働いておらず、北朝鮮にはいないことが分かる」と述べた。
さらに、中国の休日に従いながら北朝鮮の時間帯に合わせて勤務していた点について、中国の外国機関支援作戦の一環である可能性があると指摘した。
そして「キムがキムスキーを支援するために派遣された中国人であるならば、その存在を特定したことは極めて重要な情報戦の成果だ」と強調した。
注目の記事