Хакеры утверждают, что взломали компьютеры хакеров правительства Северной Кореи и опубликовали их шпионские планы в Интернете, предоставив редкую возможность наблюдать за хакерскими операциями в стране, известной своей секретностью. Два хакера, Sabre и cyb0rg, опубликовали отчет о хакерской атаке в последнем номере журнала Phrack. Phrack Magazine — легендарный электронный журнал по кибербезопасности, основанный в 1985 году.

Последний выпуск был распространен на прошлой неделе на хакерской конференции Def Con в Лас-Вегасе.

В статье два хакера написали, что им удалось взломать рабочую станцию, содержащую виртуальные машины и виртуальный частный сервер, принадлежащий человеку, которого они называли «Ким». Хакеры утверждали, что Ким работал на правительственную шпионскую группу Северной Кореи Kimsuky, также известную как APT43 и Thallium. Хакеры передали украденные данные DDoSecrets, некоммерческой организации, которая хранит утекшие наборы данных в общественных интересах.

«Кимсуки» — это активная группа постоянной угрозы (APT), которая, как полагают многие, действует в правительстве Северной Кореи и нацелена на журналистов и правительственные учреждения в Южной Корее и других странах, а также на другие цели, которые могут представлять интерес для северокорейских спецслужб. 

Как это принято в Северной Корее, Ким также проводил операции, более похожие на киберпреступную группу, такие как кража и отмывание криптовалюты для финансирования программы Северной Кореи по созданию ядерного оружия. 

Взлом дал нам беспрецедентную возможность взглянуть на работу Кимсуки, поскольку два хакера напали на члена группы вместо того, чтобы расследовать утечки данных, как обычно полагаются исследователи и компании в области кибербезопасности.

«Это также позволяет нам увидеть, как «Ким» открыто работает с китайцами (правительственными хакерами) и делится их инструментами и методами», — написали хакеры.

Иллюстрация северокорейского диктатора Ким Чен Ына, включенная в статью phrack. Источник изображения: Sabre и cyb0rg/Phrack

Очевидно, что то, что сделали Sabre и cyb0rg, технически представляет собой преступление, хотя, учитывая санкции, которым подвергается Северная Корея, они, скорее всего, никогда не будут привлечены к ответственности за это. Два хакера явно считали, что членов Кимсуки следует разоблачить и унизить.

«Кимсуки, ты не хакер. Вами движет жадность к деньгам, и ты не хочешь ничего, кроме обогащения своих лидеров и достижения их политических целей. Ты воруешь у других, при этом благоволя себе. У тебя высокое мнение о себе: ты моральный банкрот», — написала пара на Phrack. «Вы занимаетесь хакерством по совершенно неправильным причинам».

Sabre и cyb0rg заявили, что обнаружили доказательства взлома Kimsuky нескольких правительственных сетей и компаний в Южной Корее, а также адреса электронной почты и инструменты взлома, используемые организацией Kimsuky, внутренние руководства, пароли и другие данные. 

Письмо, отправленное на адрес, указанный в расследовании и предположительно принадлежащий хакеру, осталось без ответа. 

Хакеры написали, что им удалось идентифицировать Кима как хакера правительства Северной Кореи благодаря «доказательствам и подсказкам», указывающим в этом направлении, включая конфигурации файлов и доменные имена, ранее приписываемые северокорейской хакерской группе Kimsuky. 

Хакеры также отметили, что Ким Чен Ын «соблюдает строгие часы работы, всегда подключаясь около 9 утра и отключаясь в 17:00 по пхеньянскому времени».