Хакери стверджують, що зламали комп’ютер урядового хакера Північної Кореї та виклали його вміст в Інтернет, що дає рідкісну можливість зазирнути у хакерську операцію, яку здійснює ця сумнозвісна скритність країни.
Двоє хакерів, яких називають Saber та cyb0rg, опублікували звіт про порушення в останньому випуску журналу Phrack , легендарного електронного видання з кібербезпеки, яке вперше було опубліковано в 1985 році. Останній випуск був поширений на хакерській конференції Def Con у Лас-Вегасі минулого тижня.
У статті двоє хакерів написали, що їм вдалося зламати робочу станцію, що містить віртуальну машину та віртуальний приватний сервер, що належить хакеру, якого вони називають «Кім». Хакери стверджують, що Кім працює на північнокорейську урядову шпигунську групу під назвою Kimsuky, також відому як APT43 та Thallium. Хакери передали викрадені дані DDoSecrets, некомерційній організації, яка зберігає витік даних в суспільних інтересах.
«Кімсукі» — це плідна група розвідки постійних загроз (APT), яка, як вважається, працює всередині уряду Північної Кореї, атакуючи журналістів та урядові установи в Південній Кореї та інших країнах, а також інші цілі, які можуть бути цікавими для розвідувального апарату Північної Кореї.
Як це зазвичай буває у Північній Кореї, Кімсукі також проводить операції, більше схожі на кіберзлочинне угруповання, наприклад, краде та відмиває криптовалюти для фінансування програми ядерної зброї Північної Кореї.
Цей злом дає майже безпрецедентний погляд на діяльність Kimsuky, враховуючи, що двоє хакерів скомпрометували одного з членів групи, замість того, щоб розслідувати витік даних, на що зазвичай покладаються дослідники та компанії з кібербезпеки.
«Це показує, як відкрито «Кімсуки» співпрацює з китайськими [урядовими хакерами] та ділиться їхніми інструментами й методами», – написали хакери.
Ілюстрація північнокорейського диктатора Кім Чен Ина, яка була включена до статті на Phrack.Автори зображень: Saber та cyb0rg/Phrack
Очевидно, що те, що зробили Сейбер та cyb0rg, технічно є злочином, хоча їх, ймовірно, ніколи не буде за це притягнуто до відповідальності, враховуючи, що Північна Корея перебуває під санкціями по всій довжині . Двоє хакерів явно вважають, що члени Kimsuky заслуговують на викриття та присоромлення.
«Кімсукі, ти не хакер. Тобою рухає фінансова жадібність, бажання збагачувати своїх лідерів та виконувати їхній політичний порядок денний. Ти крадеш у інших і надаєш перевагу своїм. Ти цінуєш себе вище за інших: ти морально збочений», – написали вони в Phrack. «Ти займаєшся хакерством з усіх неправильних причин».
Saber та cyb0rg стверджують, що знайшли докази компрометації Kimsuky кількох південнокорейських урядових мереж та компаній, адрес електронної пошти та інструментів злому, що використовуються групою Kimsuky, внутрішніх посібників, паролів та інших даних.
Електронні листи, надіслані на адреси, що нібито належать хакерам і були зазначені в розслідуванні, залишилися без відповіді.
Хакери написали, що їм вдалося ідентифікувати Кіма як хакера, що займається урядом Північної Кореї, завдяки «артефактам та натякам», які вказували на це, включаючи конфігурації файлів та домени, які раніше приписували північнокорейській хакерській групі Kimsuky.
Хакери також зазначили «суворий графік роботи Кіма, який завжди підключається близько 9:00 і відключається до 17:00 за пхеньянським часом».