コレクションの背後にいる脅威アクター #1 データ侵害を特定

コレクションの背後にいる脅威アクター #1 データ侵害を特定

Executive Summary

2019年1月17日、セキュリティの専門家であるトロイ・ハントは、データ侵害である「コレクション#1」を 公開し 、電子メールアドレスと対応するパスワードの1,160,253,228の一意の組み合わせのハッキングコレクションを公開しました。 合計772,904,991の一意のメールアドレスと21,222,975の一意のパスワードが発見されました。その後、1月31日、PCWorldは、Hasso Plattner Instituteの研究者が、コレクション#1データ侵害、ハッキングに起因する追加の6億1,100万認証情報を発見したと 報告 しました。

Recorded Futureは、2019年1月19日の完全なダンプを分析し、コレクション#1に含まれるアカウント認証情報の多くが、2〜3年前のさまざまな過去のデータ侵害によるものであり、新たに侵害されたアカウントが含まれていない可能性があることを確認しました。

複数の脅威アクターがデータのソースであると主張し、脅威アクター「Clorox」を含むこれらのデータベースをダークウェブ全体に配布していました。 しかし、Recorded Futureは、コレクション#1の元の作成者および販売者が俳優「C0rpz」であったことを中程度の信頼性で評価しています。 ロシアの有名なハッキングフォーラムの別の攻撃者も、1,000億のユーザーアカウントの大規模なデータベースを共有していることが確認されており、コレクション#1で見つかったのと同じデータセットが含まれている可能性があります。

脅威分析

Insikt Groupは、2019年1月17日にCloroxが作成したフォーラム投稿を発見し、ファイル共有サービスMEGAでホストされている別々のデータベースに7つのURLを投稿しました。 以下にリストされている 7 つのデータベースには、合計で 993.53 GB のデータが含まれており、これには 3 つの異なるユーザー クレデンシャル (電子メール アドレスとパスワード、ユーザー名とパスワード、携帯電話番号とパスワード) が含まれています。

フォーラムの投稿で、クロロックスはトロイ・ハントの記事「7億7,300万のレコード「コレクション#1」データ侵害、ハッキング」にリンクし、トロイ・ハントが持っているデータベースは不完全であり、ダークウェブでコレクション#1として知られている元のダンプのほんの一部にすぎないと主張した。 さらに、Cloroxは、元のデータダンプが別のフォーラムで別の当事者によって販売され、その後、MEGAの異なるURLでホストされていた元のファイルを削除したと述べました。クロロックスによると、トロイ・ハントは、個人が削除するのを忘れたこれらのデータベースの1つをダウンロードすることができたが、その直後に削除したという。

さらなる分析により、2019 年 1 月 7 日には、コレクション #1 のオリジナル作成者および販売者であると主張した別の個人が C0rpz というあだ名を使用していることが判明しました。C0rpz はまた、別のフォーラム メンバーである「Sanix」が彼らからコレクション #1 を購入し、それを他のフォーラム メンバーに転売しようとしたと述べました。Sanixは、Brian Krebsの記事「773Mパスワード「Megabreach'はYears old」で特定された人物であり、私たちの分析により、これはC0rpzが最初に作成したデータベースを売ろうとしたのと同じ人物であることが確認されました。その後、Sanixはフォーラムから追放され、C0rppはMEGA共有コレクション#1へのリンクをコミュニティに無料で投稿しました。

Recorded Futureは、コレクション#1のさらに別の可能性のあるソースを発見しました。 2019年1月10日、ロシア語を話す有名なハッカーフォーラムのアクターが、個人のWebサイトでホストされている1,000億のユーザーアカウントを含むデータベースにマグネットリンクと直接ダウンロードリンクの両方を投稿しました。 その翌週、この俳優は、Troy Huntの記事で参照されているデータダンプもダンプに含まれていることを明らかにしました。

今後の展望

Recorded Futureは、データベースコレクション#1とそのバリエーションが引き続きダークウェブコミュニティで共有され、さまざまな脅威アクターからのクレデンシャルスタッフィング攻撃に組み込まれることを高い信頼性で評価しています。 ただし、コレクション#1に含まれるアカウント資格情報の多くは、以前のさまざまなデータ侵害からのものであり、その中には2〜3年前のものもあります。 影響を受けた個人の多くがすでにパスワードを変更するように求められている可能性が高く、そうでなければこのリークによって危険にさらされていたでしょう。

個人は、公開された電子メールアドレスや携帯電話番号を標的にする可能性のあるフィッシング攻撃に備える必要があります。 現在のお客様は、詳細に興味がある場合は、Recorded Future Intelligence Servicesコンサルタントに連絡できます。