Північнокорейські хакери самі стали жертвою атаки: ось що дізналися про їхню роботу

Як вдалося викрити діяльність хакерів?

Двоє дослідників у сфері кібербезпеки, відомі під псевдонімами Saber та cyb0rg, опублікували звіт про свою операцію у культовому хакерському онлайн-журналі Phrack. Його також поширили під час конференції Def Con у Лас-Вегасі. У тексті детально описано, як вдалося отримати доступ до комп'ютера одного з північнокорейських державних хакерів, якого Saber та cyb0rg умовно назвали "Кім", пише 24 Канал.

Цей "Кім", як стверджують дослідники, є членом відомого урядового шпигунського угруповання Kimsuky, також відомого як APT43 або Thallium. Це угруповання вважається одним із найактивніших і працює безпосередньо на державу. Зазвичай їхніми цілями стають журналісти, державні установи Південної Кореї та інших країн, а також будь-які організації, що можуть становити інтерес для розвідки КНДР.

Особливість Kimsuky полягає в тому, що вони не гребують і методами звичайних кіберзлочинців. Наприклад, вони активно займаються крадіжкою та відмиванням криптовалют, щоб фінансувати ядерну програму своєї країни.

Отримана в результаті зламу інформація дає унікальне уявлення про внутрішню кухню Kimsuky, адже зазвичай фахівці з кібербезпеки аналізують наслідки атак, а не отримують доступ до комп'ютерів самих зловмисників.

Saber та cyb0rg розповіли, що їм вдалося зламати не лише робочу станцію з віртуальною машиною, а й віртуальний приватний сервер, що належав "Кіму". Серед знайдених даних були докази компрометації кількох урядових мереж та компаній Південної Кореї, адреси електронної пошти, а також внутрішні інструкції, паролі та набір хакерських інструментів, якими користувалася група. Усі викрадені дані вже передали некомерційній організації DDoSecrets, яка займається зберіганням подібних витоків в інтересах громадськості.

Один із найцікавіших аспектів, який розкрили хакери – це тісна співпраця Kimsuky з китайськими урядовими хакерами. Вони відкрито ділилися один з одним інструментами та тактиками.

Ідентифікувати "Кіма" як державного хакера з КНДР допомогли численні "артефакти та підказки". Наприклад, специфічні конфігурації файлів та домени, які раніше вже пов'язували з Kimsuky. Крім того, зловмисник мав чіткий робочий графік: він підключався до мережі близько 9:00 ранку та відключався о 17:00 за пхеньянським часом, що вказує на стандартний офісний робочий день.

Хоча дії Saber та cyb0rg технічно є злочином, вони навряд чи будуть притягнуті до відповідальності, враховуючи, що Північна Корея перебуває під жорсткими міжнародними санкціями. Самі хакери вважають, що члени Kimsuky заслуговують на викриття та приниження. На їхню думку, північнокорейські хакери керуються не ідеологією, а фінансовою жадібністю та політичними інтересами свого керівництва, крадучи в інших задля збагачення власної еліти.