USDoDの正体はブラジル在住の33歳男性、ハッカー自ら認める | Codebook|Security News
Codebook|Security News > Articles > Threat Report > USDoDの正体はブラジル在住の33歳男性、ハッカー自ら認める

Threat Report

OSINT

Silobreaker-CyberAlert

USDoD

USDoDの正体はブラジル在住の33歳男性、ハッカー自ら認める

佐々山 Tacos

佐々山 Tacos

2024.08.26

USDoDの正体はブラジル在住の33歳男性、ハッカー自ら認める

(情報源:HackReadTechmundo

悪名高いハッカー「USDoD」が、自らの正体がブラジル在住のLuan G(33歳/男)であることを明らかに。LuanはHackread.comの独占取材に対し、「CrowdStrikeに身元を晒された」ことを認めているという。

USDoDとは?

EquationCorpとしても知られるUSDoDは、数々のデータ侵害に関与してきたとされる有名なハッカー。最近では、バックグラウンドチェックなどを行う米国のデータ販売会社National Public Dataを侵害し、32億件以上の社会保障番号(SSN)をネット上にリークしてニュースメディアを賑わせていた。また2022年には、FBIのセキュリティプラットフォームである「InfraGard」を侵害してメンバー87,000人分の個人情報をダークウェブ上で販売。これ以外にも、USDoDは複数の重大なデータ侵害に関わってきたとされる。

CrowdStrikeがUSDoDの「ドキシング」に成功

8月22日、ブラジルのメディア「Techmundo」は、「匿名の情報筋から入手したCrowdStrike社作成のレポート」に基づく記事を公開。USDoDのリーダーと思われる人物はブラジル・ミナスジェライス州在住のLuan・B.G.という33歳の男性だ、とするこの「レポート」の内容を詳しく報じた。これについてUSDoDは、Hackread.comから受けた取材の中で自身が「CrowdStrikeにドキシングされた(晒された)」ことを認めている。

Hackread.comによれば、同ハッカーとCrowdStrikeの間で軋轢が生じたのは今年7月。USDoDが同サイバーセキュリティ企業から10万行分のIoCリストを入手し、これをリークしたとアナウンスしたことがきっかけだったという。その後、CrowdStrikeは1か月足らずの期間でUSDoDの正体を暴いたと思われる。

OSINTによるドキシング

Techmundoの記事を踏まえると、CrowdStrikeはLuanが使っていたとされるEメールアドレスからこれに紐づくさまざまなプラットフォームのアカウントを炙り出し、LuanとUSDoDを結び付けるに至ったものとみられる。ただ、前述の「CrowdStrike社作成のレポート」は未だ公開されていない文書であると思われることから、身元特定に至るまでの正確な経緯が明かされているわけではない。

これを受け、OSINT企業Predicta LabのCEOであるBaptiste Robert氏とOSINTアナリストらが独自に調査を実施。USDoDが使っていたX(旧Twitter)アカウント「@EquationCorp」からこのハッカーはLuanであろうとの結論に達するまでの流れを、Robert氏がツイートした。Robert氏の一連のツイートによれば、OSINT調査は大まかに以下のような道筋で行われたという。

  • Twitterアカウント「@EquationCorp」のバイオ欄には、「I protect the hive. When the system is out of balance, I correct it」と記されていた。これと同じフレーズが、Instagramアカウント「@zerodaycorp(旧@barbosa.luan_)」のバイオ欄にも記載されているのを発見。
  • SoundCloudのアカウント「LBG91(ユーザー名はLuan)」のプロフィール欄には、@zerodaycorpへの言及があった。また同じプロフィール欄から古いTwitterアカウントの情報も手に入った。
  • Spotifyにも、「LBG91」というアカウントが存在。このプロフィールページからはFacebookアカウントの情報が手に入った。
  • SoundCloudのプロフィール画像をサイト「TinEye」で画像検索にかけたところ、LuanのMediumアカウント「NatSec(旧luanbgs22)」が見つかった。このアカウントは、サイバーセキュリティ関係の記事をいくつかリリースしていた。
  • ネット上のユーザー名を調べられるサイト「WhatsMyName」で「luanbgs22」を調べたところ、Gravatarアカウントが見つかった。そしてGravatarのプロフィールから、Eメールアドレス「luanbgs22@〜」を特定した。
  • Eメールや電話番号からデジタルフットプリントを調べられるツール「predictasearch」を使い、このアドレスに紐づけられたGithub、Gravatar、TV Timeのアカウントのほか、リークデータやこのアドレスで登録されたドメインを見つけることができた。
  • predictasearchで得られたフットプリント情報から、Luanがハッキングやリバースエンジニアリングを好んでいることや、複数のハッキングフォーラムにアカウントをいくつか保有しており、データリークの投稿を行っていたことなどが明らかになった。

Luanの今後は?

USDoD(Luan)はHackread.comに提供した声明の中で、今後はサイバー犯罪の世界から足を洗い、祖国ブラジルのためになるようなことをしたいとの考えを表明。「私は逃げない」、「自分のすべての行動に対して責任を取るべき時が来た」、「これが終わりではない。ありがとう、また会おう」などと語った。

TecMundoによればCrowdStrikeは調査結果をすでにブラジル当局に提出済みだとされる。米国とブラジル間の犯罪人引渡条約のもとでは、米国はブラジルへLuanの送還を要請することが可能。ただ、かつてよりブラジルが自国民の送還を実施してこなかった歴史を持つことを踏まえると、Luanに対する法的処置は同国内で行われる可能性もあり得るとのこと。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ