none028

이번 포스트는 2019년 야놀자 데이터 유출 덤프를 언더그라운드포럼에 업로드한 지노스틱플레이어즈(GnosticPlayers)에 대한 DATA VIPER의 분석 보고서를 요약 및 정리한 포스트 입니다.

**원문 보고서, The Dark Overlord: An Investigation Into A Cyber Terrorist Organization

지노스틱플레이어즈(GnosticPlayers)는 누구일까?

2019 년 2 월경 GnosticPlayers라는 이름은 Dream Market (다크 웹 마켓 플레이스)에서 시작되었습니다. 해킹 된 데이터베이스 중 일부에는 MyFitnessPal, MyHeritage, EyeEm, 8fit 및 WhitePages가 포함되어 있었습니다. 당시 GnosticPlayers 그룹은 Nclay와 DDB의 두 핵심 멤버로 구성되어 있었습니다. Nclay는 해커 였고 DDB는 판매자였습니다.

첫 번째 데이터베이스가 Dream Market에서 판매되기 시작한 직후 Troy Hunt의 HaveIBeenPwned 웹 사이트 에서 여러 데이터베이스가 공유되었습니다.

아래의 이미지는 GnosticPlayers 그룹의 멤버들에 대한 정보 입니다. (이렇게나 많다니...;;;)

아래는 GnosticPlayers 그룹으로부터 해킹당한 타겟에 대한 정보입니다. (1년동안 정말 열일한 그룹)

Known / Confirmed GnosticPlayers Hacks

The following is a list of hacks confirmed to be attributed to GnosticPlayers.

• 500px
• 8fit
• 8Tracks
• Animoto
• Armor Games
• Artsy
• BookMate
• Bukalapak
• Chegg
• ClassPass
• CoffeeMeetsBagel
• Coinmama
• Coubic
• DataCamp
• Dubsmash
• Estante Virtual
• Evite
• EyeEm
• Fotolog
• GameSalad
• Ge.tt
• GfyCat
• HauteLook
• Houzz
• iCracked
• Jobandtalent
• Legendas.tv
• LifeBear
• Mindjolt
• MyFitnessPal
• MyHeritage
• Onebip
• OMGPop
• PetFlow
• Pizap
• PromoFarma
• Quora
• Roadtrippers
• Roll20
• ShareThis
• Storenvy
• StoryBird
• StreetEasy
• Stronghold Kingdoms
• Taringa
• Wanelo
• Whitepages
• Wirecard
• Xigo
• Yanolja, 야놀자(!)
• YouNow
• YouthManual
• Zynga

GnosticPlayers 그룹은 어떠한 방식 또는 기술을 통해 위와 같은 타겟들을 전부 해킹할 수 있었던 걸까요.. 아무튼 대단..

이 블로그에서는 GnosticPlayers 그룹이 공격 당시에 사용한 기법에 대해서도 다루고 있습니다. 내용은 다음과 같습니다.

Gnostic’s Hacking Technique

The hack was simple but extremely effective: the group would target developers using credential stuffing attacks to log into their GitHub accounts. While there, they would pillage the code repositories, looking for AWS keys and similar credentials that were checked into code repositories.

해킹은 간단하지만 매우 효과적이었습니다. GnosticPlayers 그룹은 크리덴셜 스터핑 공격을 사용하여 GitHub 계정에 로그인하는 개발자를 타겟으로 삼았습니다. 그곳에서 그들은 레포지토리에 있는 정보를 탈취하여 해당 레포지토리에 체크인 된 AWS 키와 유사한 크리덴셜 정보를 찾습니다. 

Once logged into the the GitHub accounts, the group also used a method to bypass GitHub’s IP-based access restrictions. Specific details of this attack, including Gnostic’s own person account of these details, will be available in my book.

GitHub 계정에 로그인 한 후, GnosticPlayers 그룹은 GitHub의 IP 기반 액세스 제한을 우회하는 방법도 사용했습니다.

이 외에 다른 내용은 NSFW와의 연관성과 다른 TA에 대한 내용을 다루었는데, 이번 포스트에서는 GnosticPlayers 그룹에 대한 내용만 요약하여 정리하였습니다.

오늘은 딥웹에 있는 언더그라운드 포럼에 대한 전반적인 소개와 어떤 데이터들이 주로 올라오는 지에 대해서 다루고자 합니다.

먼저 게시글에서 다룰 Nulled와 Raidforums는 이미 이전에 한국 관련 데이터 셋이 유출되어서 기사에 참고 자료로 올라올 정도로 많이 알려져 있습니다.

1. Nulled

Nulled는 딥웹에 있는 언더그라운드 포럼 중에서도 많은 회원 수를 보유하고 있습니다. 그리고 글의 리젠 속도 또한 다른 포럼에 비해 많습니다. 비교하자면, Raidforums가 하루에 2000-3000개 정도의 게시글이 업데이트되고, Nulled는 100,000개 정도의 게시글이 업데이트됩니다. Nulled는 AQUA 등급이 되면 모든 게시글의 Hidden contents를 무제한으로 조회할 수 있습니다.

Nulled는 정말 다양한 유출 데이터에 대한 게시글들이 올라옵니다. 아래 이미지는 2020년 6월 20일 오후 3시 15분에 캡쳐한 게시판입니다.

이 중에 주로 Fresh 키워드가 붙은 데이터는 게시자가 가장 최근에 얻은 유출 데이터 정보입니다. 언더그라운드 포럼을 모니터링하는 방법에 대해서는 다음 주, "언더그라운드 포럼 모니터링 방법" 포스트에서 다루도록 하겠습니다.

2. Raidforums

한국 관련 데이터가 Nulled 보다 많이 올라오는 사이트입니다. 최근 1년 전 유출된 '야놀자펜션' 개인정보 판매글 등장 [링크] 제목의 기사에서 참고 자료로 제시된 이미지에 나온 포럼이 Raidforums 입니다. 2번째 이미지로 제시된 이미지는 Genesis Store 인데, 이건 다음 포스트에서 자세히 다루도록 하겠습니다. 

Raidforums는 Nulled와 비슷하게 생겼지만 멤버쉽과 데이터를 구매하는 방식이 다릅니다. Raidforums는 credit을 미리 선결제해서 credit을 차감시켜 hidden contents를 조회할 수 있는 권한을 획득하여 데이터를 확보할 수 있습니다.

다음 포스트에서는 Nulled / Raidforums 와 같은 언더그라운드 포럼에서 데이터를 검색하는 방법과 데이터를 얻기 위해서 보통 어떤 방식들이 있는 지에 대해서 작성하겠습니다.