Группа хакеров под псевдонимами Saber и cyb0rg заявила о взломе компьютера северокорейского правительственного хакера и публикации полученных данных в открытом доступе. Этот инцидент открыл уникальное окно в деятельность одной из самых скрытных киберакций КНДР.
Об этом сообщает ProIT
Подробности взлома и обнародования данных
В своем отчете, опубликованном в последнем номере легендарного журнала по кибербезопасности Phrack, Saber и cyb0rg сообщили о компрометации рабочей станции, где находились виртуальная машина и виртуальный частный сервер, принадлежащие хакеру, которого они назвали «Ким». По словам хакеров, «Ким» работает на шпионскую группировку КНДР Kimsuky (APT43 или Thallium), известную целым рядом кибератак на журналистов, государственные учреждения Южной Кореи и другие цели, представляющие интерес для разведки северокорейских властей.
Украденные данные были переданы некоммерческой организации DDoSecrets, которая занимается хранением и публикацией массивов слитой информации в интересах общества. Благодаря этому взлому общественность получила почти беспрецедентную возможность заглянуть внутрь деятельности Kimsuky, так как был скомпрометирован один из членов группы, а не просто обнаружены следы обычной кибератаки.
Операции Kimsuky и сотрудничество с китайскими хакерами
Согласно исследованию, Kimsuky не только выполняет шпионские задания и атакует государственные цели, но и занимается кибершахрайством, в частности кражами и отмыванием криптовалют для финансирования ядерной программы КНДР.
«Это показывает, насколько открыто ‘Kimsuky’ сотрудничает с китайскими [государственными хакерами] и делится своими инструментами и методами,» написали хакеры.
В материале подчеркивается, что между Kimsuky и китайскими государственными хакерами существует тесное сотрудничество, включая обмен инструментами и тактиками.
Хакеры Saber и cyb0rg также утверждают, что обнаружили доказательства взлома нескольких южнокорейских правительственных сетей и компаний, электронные адреса, инструменты для взлома, внутренние инструкции, пароли и множество другой информации, использовавшейся группой Kimsuky. Они идентифицировали «Кима» как северокорейского правительственного хакера благодаря ряду артефактов, намеков, а также конфигураций файлов и доменов, которые уже ранее связывали с этой группой.
Исследователи также обратили внимание на строгий рабочий график «Кима»: он подключался к сети около 09:00 и отключался в 17:00 по пхеньянскому времени.
Несмотря на очевидную противоправность действий Saber и cyb0rg, им вряд ли грозит преследование, учитывая изоляцию и санкции против КНДР. Сами хакеры считают, что члены Kimsuky заслуживают быть разоблачёнными и осрамленными. В своем отчете они назвали деятельность группы аморальной, а ее участников обвинили в финансовой жадности и политической предвзятости, отметив, что те «хакерят с неправильных мотивов».