Зловмисники викрили та оголосили про серйозну шпигунську операцію Північної Кореї

Відомі хакери стверджують, що їм вдалося зламати комп’ютер працівника уряду Північної Кореї та викласти його вміст в інтернет, відкриваючи рідкісну можливість зазирнути в операції зламу цієї таємничої країни.

Двоє хакерів, які використовують псевдоніми Сабер та cyb0rg, опублікували звіт про злом у свіжому випуску журналу Phrack, легендарного електронного видання з кібербезпеки, яке вперше вийшло в 1985 році. Останній випуск був представленний на конференції хакерів Def Con, що проходила у Лас-Вегасі на минулому тижні.

У статті хакери зазначили, що їм вдалося скомпрометувати робочу станцію, яка містила віртуальну машину та віртуальний приватний сервер, що належить зловмиснику, якого вони називають “Кім”. Ці хакери стверджують, що Кім працює в північнокорейській групі шпигунства, відомій як Кімсукі, також відомій під назвами APT43 та Thallium. Вкрадені дані були опубліковані на платформі DDoSecrets, неприбутковій організації, що збирає викрадені набори даних в інтересах суспільства.

Кімсукі є відомою групою з постійними загрозами, яка, як вважається, працює в рамках уряду Північної Кореї, націлюючись на журналістів, урядові установи в Південній Кореї та інші об’єкти, які можуть бути цікавими для розвідки Північної Кореї.

Традиційно для Північної Кореї, Кімсукі також проводить операції, що більше нагадують дії кіберзлочинців — наприклад, крадіжку та відмивання криптовалют для фінансування програми ядерної зброї.

Цей хак надає майже безпрецедентний погляд на діяльність Кімсукі, оскільки два хакери скомпрометували одного з членів групи, замість того, щоб розслідувати витік даних, як це зазвичай роблять дослідники з кібербезпеки.

“Це демонструє, наскільки відкрито Кімсукі співпрацює з китайськими [урядовими хакерами] і ділиться своїми інструментами та технологіями”, — написали хакери.

Звичайно, те, що зробили Сабер і cyb0rg, є технічно злочином, хоча, ймовірно, їх ніколи не притягнуть до відповідальності, оскільки Північна Корея знаходиться під серйозними санкціями. Ці два хакери чітко вважають, що членів Кімсукі потрібно викрити та зганьбити.

“Кімсукі, ти не хакер. Тебе керують фінансові інтереси, ти збагачуєш своїх лідерів та виконуєш їх політичну агенду. Ти крадеш в інших і підтримуєш своїх. Ти цінуєш себе вище за інших: ти морально збочений”, — написали вони в Phrack. “Ти хакер лише з неправильних причин.”

Сабер і cyb0rg стверджують, що їм вдалося знайти докази діяльності Кімсукі, яка скомпрометувала кілька урядових мереж та компаній Південної Кореї, електронні адреси, інструменти для зламу, внутрішні посібники, паролі та інші дані.

Електронні листи, надіслані на адреси, які нібито належать хакерам і які були зазначені в дослідженні, залишилися без відповіді.

Хакери зазначили, що їм вдалося ідентифікувати Кіма як північнокорейського урядового хакера завдяки “артефактам та вказівкам”, які вказували в цьому напрямку, зокрема налаштуванням файлів та доменам, раніше пов’язаним з північнокорейською групою зламу Кімсукі.

Також хакери зауважили “строгі робочі години” Кіма, оскільки він завжди підключався близько 09:00 та відключався о 17:00 за пхеньянським часом.