北朝鮮が背後にいるハッカー組織がアンドロイドのスマートフォンとPCを遠隔操作し、写真や文書、連絡先など主要データを丸ごと削除する破壊的手法のサイバー攻撃を敢行した状況が捉えられた。
10日、情報セキュリティ企業Geniansセキュリティセンターの脅威分析報告書によると、北朝鮮が背後にいる脅威グループのキムスキ(Kimsuky)またはAPT37グループと連携しているとされる高度持続的脅威(APT)グループ「コニ」が、個人情報の窃取水準を超え、韓国国内のグーグル・アンドロイド基盤のスマートフォン・タブレット・PCなどを遠隔で初期化し、端末に保存された個人データを無断で削除した事例が初めて確認された。
Geniansが今回のコニAPTキャンペーンを分析した結果、ハッカーは国内のある心理相談士のスマートフォンを初期化し、奪取したカカオトークのアカウントを通じて「ストレス解消プログラム」に偽装した悪性ファイルを知人らに多数送信した。同月15日には、ある北朝鮮人権運動家のアンドロイドスマートフォンも初期化され、奪取されたカカオトークのアカウントを通じて悪性ファイルが知人36人に同時多発的に拡散する事件が発生した。
カカオトークのメッセージを通じたマルウェア拡散は、信頼のある知人関係を装う典型的なソーシャルエンジニアリング型の北朝鮮発ハッキング攻撃と確認された。
報告書によると、今回の事件では前例のない攻撃手法がさらに確認された。ハッカーは被害者のスマートフォンやPCなどに侵入した後、長期間潜伏し、グーグルを含む国内主要IT(情報技術)サービスのアカウント情報を窃取した。
ハッカーはスマートフォンのグーグル位置情報に基づく照会を通じて、被害者が自宅やオフィスではない外部にいる時点を把握した後、グーグルの「自分のデバイスを探す」(ファインドハブ)機能を通じてスマートフォンを遠隔初期化した。同時に、自宅・オフィスなどにある既にマルウェアに感染したPCやタブレットを通じて、知人らに「ストレス解消プログラム」などに偽装したマルウェアを拡散した。
知人の一部が悪性ファイルであることを疑い、電話やメッセージなどで真偽を問い合わせても、ハッキング被害者のスマートフォンはプッシュ通知・通話やメッセージなどが遮断された「フリーズ」状態で、初動対応が遅れ、追加被害は速やかに拡大した。
ハッカーは被害者のスマートフォン、タブレット、PCから写真や文書、連絡先など主要データを削除した。
報告書は、ハッカーが被害者が外出中であることを確認するためにPCなどに搭載されたウェブカメラを活用した状況もあると明らかにした。マルウェアにウェブカメラやマイクの制御機能が含まれており、感染したウェブカメラを通じて被害者の一挙手一投足を監視した可能性があるという説明だ。
報告書は「アンドロイドスマート機器のデータ削除とアカウント基盤の攻撃伝播など複数の手法を組み合わせた戦略は、既存の北朝鮮発ハッキング攻撃では前例がなかった」とし、「北朝鮮のサイバー攻撃戦術が人々の日常に食い込む実質的破壊段階へと高度化していることを示す」と述べた。
Geniansはハッキング被害を最小化するため、「グーグルアカウントのパスワードを定期的に変更し、2段階認証(2FA)などの追加認証手段を適用してほしい」と助言した。さらに「ウェブブラウザのログイン時にパスワードの自動保存を避け、外出時にはコンピューターの電源を切る習慣を維持し、物理的・遠隔の攻撃可能性を最小化すべきだ」と付け加えた。