Група хакерів стверджує, що їй вдалося зламати комп’ютер північнокорейського зловмисника та викласти дані в інтернет, відкривши унікальний погляд на діяльність зловмисників з цієї таємничої країни.
Два хакери, які представляються як Saber та cyb0rg, опублікували звіт про порушення безпеки в останньому випуску журналу Phrack, легендарного електронного видання, що займається питаннями кібербезпеки та вперше опублікованого в 1985 році. Останній випуск був поширений на конференції хакерів Def Con у Лас-Вегасі минулого тижня.
Розвідка Північної Кореї
У статті хакери повідомили, що їм вдалося зламати робоче місце, яке містило віртуальну машину та віртуальний приватний сервер, що належать зловмиснику, якого вони називають “Ким”. Вони стверджують, що Ким працює в агентстві розвідки Північної Кореї відомому як Kimsuky, також відомому як APT43 та Thallium. Викрадені дані були передані DDoSecrets, неприбутковій організації, що зберігає витоки інформації в суспільних інтересах.
Kimsuky є відомою групою з просунутою стійкістю, яка, як вважається, функціонує в межах уряду Північної Кореї, намагаючись атакувати журналістів, урядові установи в Південній Кореї та в інших місцях, а також інші цілі, які можуть бути цікаві розвідувальному апарату КНДР.
Як і зазвичай з Північною Кореєю, Kimsuky також проводить операції, більше схожі на дії кіберзлочинців, наприклад, крадіжку та відмивання криптовалюти для фінансування ядерної програми КНДР.
Цей злочин є практично безпрецедентним поглядом на діяльність Kimsuky, оскільки хакери зламали одного з членів групи, а не досліджували витік даних, як це зазвичай роблять дослідники кібербезпеки.
Звісно, те, що зробили Saber і cyb0rg, технічно є злочином, хоча ймовірно, їм ніколи не будуть пред’явлені звинувачення, враховуючи, що Північна Корея має дуже жорсткі санкції. Хакери очевидно вважають, що члени Kimsuky заслуговують на викриття та осуд.
Saber і cyb0rg стверджують, що знайшли докази того, що Kimsuky зламав кілька урядових мереж та компаній Південної Кореї, а також електронні адреси, інструменти для зламу, внутрішні посібники, паролі тощо.
Листи, надіслані на адреси, які ймовірно належать хакерам та були зазначені в дослідженні, залишилися без відповіді.
Хакери повідомили, що їм вдалося ідентифікувати Кима як північнокорейського державного хакера, завдяки “артефактам та натякам”, які вказували в цьому напрямку, включаючи конфігурації файлів та домени, раніше приписувані групі Kimsuky.
Згідно з інформацією хакерів, Кім має “чіткий розклад роботи, завжди підключається приблизно о 09:00 та відключається близько 17:00 за пхеньянським часом.”