Doi hackeri, cunoscuți sub numele de Saber și cyb0rg, susțin că au compromis computerul unui membru al grupării cibernetice nord-coreene Kimsuky și au publicat conținutul acestuia online, oferind o privire rară în interiorul unei operațiuni de spionaj desfășurate de statul nord-coreean. Informațiile au fost prezentate într-un articol publicat în cel mai recent număr al revistei Phrack, distribuit săptămâna trecută la conferința Def Con din Las Vegas, transmite TechCrunch.
Potrivit celor doi hackeri, ținta lor, denumită „Kim”, ar lucra pentru Kimsuky – cunoscută și sub numele de APT43 sau Thallium –, un grup avansat de tip persistent threat atribuit pe scară largă guvernului de la Phenian. Gruparea este cunoscută pentru atacuri asupra jurnaliștilor și agențiilor guvernamentale din Coreea de Sud și din alte state, precum și asupra altor obiective de interes pentru serviciile de informații nord-coreene.
Citește și: UE a aprobat al 18-lea pachet de sancțiuni împotriva Rusiei: „Unul dintre cele mai dure de până acum”
Saber și cyb0rg afirmă că au obținut acces la o stație de lucru care conținea o mașină virtuală și un server privat virtual utilizate de Kim. Datele sustrase, ce includ documente interne, unelte de hacking, manuale, parole și adrese de email, au fost transmise către DDoSecrets, o organizație nonprofit care arhivează și publică seturi de date scurse în interes public.
Conform raportului, hackerii au identificat indicii clare privind apartenența lui Kim la Kimsuky, inclusiv fișiere de configurare și domenii asociate anterior grupului. Un alt detaliu observat a fost programul de lucru regulat al acestuia – conectări zilnice în jurul orei 09:00 și deconectări la ora 17:00, ora locală a Phenianului.
„Arată o privire asupra modului în care ‘Kimsuky’ cooperează deschis cu [hackeri guvernamentali] chinezi și le împărtășește instrumentele și tehnicile,” au scris Saber și cyb0rg în Phrack.
Kimsuky nu desfășoară doar activități de spionaj clasic, ci și operațiuni cu caracter infracțional. Printre acestea se numără furtul și spălarea de criptomonede, considerate o sursă importantă de finanțare pentru programul nuclear al Coreei de Nord.
Cei doi hackeri au publicat și un mesaj adresat direct membrilor grupului: „Kimsuky, nu ești hacker. Ești condus de lăcomie financiară, pentru a-ți îmbogăți liderii și a le îndeplini agenda politică. Furi de la alții și îți favorizezi propria tabără. Te pui pe tine deasupra celorlalți: ești pervertit moral. Ataci pentru toate motivele greșite.”
În materialul prezentat, Saber și cyb0rg afirmă că au găsit dovezi ale compromiterii mai multor rețele și companii guvernamentale din Coreea de Sud, alături de date referitoare la instrumente și tactici folosite de Kimsuky. Aceștia susțin că breșa oferă o oportunitate aproape fără precedent de a observa din interior activitatea unui membru al grupării, spre deosebire de investigațiile obișnuite care se bazează pe analize externe ale unor atacuri deja produse.
Citește și: Noua lege europeană privind libertatea presei: ce schimbări se produc în UE
Deși acțiunea celor doi reprezintă, din punct de vedere legal, o infracțiune, este puțin probabil ca aceștia să fie urmăriți penal, având în vedere lipsa relațiilor diplomatice și sancțiunile severe impuse Coreei de Nord. Emailurile trimise către adresele atribuite hackerilor nord-coreeni nu au primit răspuns.
Potrivit experților, Kimsuky rămâne unul dintre cele mai active grupuri de spionaj cibernetic din Coreea de Nord, implicat atât în activități de colectare de informații, cât și în operațiuni de natură financiară, menite să sprijine regimul de la Phenian.
Breșa prezentată de Saber și cyb0rg adaugă un volum semnificativ de detalii înțelegerea modului de lucru al acestei grupări.
