none028

이번 포스트는 2019년 야놀자 데이터 유출 덤프를 언더그라운드포럼에 업로드한 지노스틱플레이어즈(GnosticPlayers)에 대한 DATA VIPER의 분석 보고서를 요약 및 정리한 포스트 입니다.

**원문 보고서, The Dark Overlord: An Investigation Into A Cyber Terrorist Organization

지노스틱플레이어즈(GnosticPlayers)는 누구일까?

2019 년 2 월경 GnosticPlayers라는 이름은 Dream Market (다크 웹 마켓 플레이스)에서 시작되었습니다. 해킹 된 데이터베이스 중 일부에는 MyFitnessPal, MyHeritage, EyeEm, 8fit 및 WhitePages가 포함되어 있었습니다. 당시 GnosticPlayers 그룹은 Nclay와 DDB의 두 핵심 멤버로 구성되어 있었습니다. Nclay는 해커 였고 DDB는 판매자였습니다.

첫 번째 데이터베이스가 Dream Market에서 판매되기 시작한 직후 Troy Hunt의 HaveIBeenPwned 웹 사이트 에서 여러 데이터베이스가 공유되었습니다.

아래의 이미지는 GnosticPlayers 그룹의 멤버들에 대한 정보 입니다. (이렇게나 많다니...;;;)

아래는 GnosticPlayers 그룹으로부터 해킹당한 타겟에 대한 정보입니다. (1년동안 정말 열일한 그룹)

Known / Confirmed GnosticPlayers Hacks

The following is a list of hacks confirmed to be attributed to GnosticPlayers.

• 500px
• 8fit
• 8Tracks
• Animoto
• Armor Games
• Artsy
• BookMate
• Bukalapak
• Chegg
• ClassPass
• CoffeeMeetsBagel
• Coinmama
• Coubic
• DataCamp
• Dubsmash
• Estante Virtual
• Evite
• EyeEm
• Fotolog
• GameSalad
• Ge.tt
• GfyCat
• HauteLook
• Houzz
• iCracked
• Jobandtalent
• Legendas.tv
• LifeBear
• Mindjolt
• MyFitnessPal
• MyHeritage
• Onebip
• OMGPop
• PetFlow
• Pizap
• PromoFarma
• Quora
• Roadtrippers
• Roll20
• ShareThis
• Storenvy
• StoryBird
• StreetEasy
• Stronghold Kingdoms
• Taringa
• Wanelo
• Whitepages
• Wirecard
• Xigo
• Yanolja, 야놀자(!)
• YouNow
• YouthManual
• Zynga

GnosticPlayers 그룹은 어떠한 방식 또는 기술을 통해 위와 같은 타겟들을 전부 해킹할 수 있었던 걸까요.. 아무튼 대단..

이 블로그에서는 GnosticPlayers 그룹이 공격 당시에 사용한 기법에 대해서도 다루고 있습니다. 내용은 다음과 같습니다.

Gnostic’s Hacking Technique

The hack was simple but extremely effective: the group would target developers using credential stuffing attacks to log into their GitHub accounts. While there, they would pillage the code repositories, looking for AWS keys and similar credentials that were checked into code repositories.

해킹은 간단하지만 매우 효과적이었습니다. GnosticPlayers 그룹은 크리덴셜 스터핑 공격을 사용하여 GitHub 계정에 로그인하는 개발자를 타겟으로 삼았습니다. 그곳에서 그들은 레포지토리에 있는 정보를 탈취하여 해당 레포지토리에 체크인 된 AWS 키와 유사한 크리덴셜 정보를 찾습니다. 

Once logged into the the GitHub accounts, the group also used a method to bypass GitHub’s IP-based access restrictions. Specific details of this attack, including Gnostic’s own person account of these details, will be available in my book.

GitHub 계정에 로그인 한 후, GnosticPlayers 그룹은 GitHub의 IP 기반 액세스 제한을 우회하는 방법도 사용했습니다.

이 외에 다른 내용은 NSFW와의 연관성과 다른 TA에 대한 내용을 다루었는데, 이번 포스트에서는 GnosticPlayers 그룹에 대한 내용만 요약하여 정리하였습니다.

한국과 관련된 웹 서비스와 모바일 어플리케이션의 데이터 유출 사례가 증가한 근거는 최근 5월부터 왕성한 활동량을 보이고 있는 TA, Shinyhunters와 Megadimarus와 관련이 있습니다.

**TA - Threat Actor

아래의 테이블은 2020.02 부터 2020.07 까지 딥 다크웹 내의 주요 언더그라운드 포럼에서 일어난 한국과 관련된 데이터 유출 사례들을 정리하였습니다.

**대부분의 유출 정보들은 Email:Password 형식으로 이루어져 있습니다.

**Data Counts는 유출 덤프에서 유효한 계정만 추려낸 데이터의 수 입니다.

**유출 덤프에서 유효한 계정만 추려낼때 사용한 스크립트 ([Projects] Cyber Threat Intelligence - 02. 유효한 이메일 계정 체크)

Shinyhunters는 누구인가?

Empire market을 기준으로 지난 2020년 1월 25일부터 활동 중인 Shinyhunters는 다크웹 마켓인 Empire market(Tor), Dream Market(Tor)와 딥웹 언더그라운드 포럼인 Raidforums 등에서 현재까지 활발히 활동 중 입니다. 현재 주로 사용 중인 언어는 영어 입니다.

해당 TA는 2020년 5월 9일 tor의 Empire market에서 집꾸미기, 스타일쉐어 데이터베이스를 게시하여 국내에서 이슈가 되었습니다. 최근에는 Dream Market에 데이팅 앱의 계정 정보를 게시하였습니다.

**현재 Empire market은 접속이 불가능한 상황입니다.

Megadimarus는 누구인가?

올해 2020년 5월 15일부터 활동 중인 Megadimarus의 경우, Gnosticplayers(2019년 야놀자 데이터 유출 덤프를 최초로 게시한 TA)와 Shinyhunters가 이미 다크웹 마켓에 게시하였던 야놀자의 사용자 정보를 딥웹 언더그라운드 포럼인 Raidforums에 게시하였습니다. 현재 주로 사용 중인 언어는 영어 입니다.

**[Projects] 언더그라운드 포럼 내, 위협 행위자(Threat Actor) - 02. 지노스틱플레이어즈(GnosticPlayers) reported by DATA VIPER

이 외에도 Shinyhunters가 가장 먼저 게시하였던 Tokopedia와 꾸밈의 사용자 정보를 Megadimarus가 Raidforums에 게시하여 판매 중입니다. 최근에는 플레이윙즈 데이터베이스의 특정 테이블 구조와 데이터를 Raidforums에 게시하였습니다.

**해당 케이스는 확인 결과, 사용자의 로그인 시간과 로그아웃 시간이 기록된 테이블이였으며, 사용자의 개인 정보는 포함되어 있지 않았습니다.