Двое хакеров-энтузиастов взломали компьютер, принадлежавший члену правительственной хакерской группы Северной Кореи. Это событие предоставило беспрецедентную возможность заглянуть за кулисы одной из самых закрытых шпионских операций в мире, раскрыв методы и цели киберпреступников, работающих на режим Кимов.

Как удалось разоблачить деятельность хакеров?

Двое исследователей в сфере кибербезопасности, известные под псевдонимами Saber и cyb0rg, опубликовали отчет о своей операции в культовом хакерском онлайн-журнале Phrack. Его также распространили во время конференции Def Con в Лас-Вегасе. В тексте подробно описано, как удалось получить доступ к компьютеру одного из северокорейских государственных хакеров, которого Saber и cyb0rg условно назвали "Ким", пишет 24 Канал.

Этот "Ким", как утверждают исследователи, является членом известной правительственной шпионской группировки Kimsuky, также известной как APT43 или Thallium. Эта группировка считается одной из самых активных и работает непосредственно на государство. Обычно их целями становятся журналисты, государственные учреждения Южной Кореи и других стран, а также любые организации, которые могут представлять интерес для разведки КНДР.

Особенность Kimsuky заключается в том, что они не гнушаются и методами обычных киберпреступников. Например, они активно занимаются кражей и отмыванием криптовалют, чтобы финансировать ядерную программу своей страны.

Полученная в результате взлома информация дает уникальное представление о внутренней кухне Kimsuky, ведь обычно специалисты по кибербезопасности анализируют последствия атак, а не получают доступ к компьютерам самих злоумышленников.

Saber и cyb0rg рассказали, что им удалось взломать не только рабочую станцию с виртуальной машиной, но и виртуальный частный сервер, принадлежавший "Киму". Среди найденных данных были доказательства компрометации нескольких правительственных сетей и компаний Южной Кореи, адреса электронной почты, а также внутренние инструкции, пароли и набор хакерских инструментов, которыми пользовалась группа. Все похищенные данные уже передали некоммерческой организации DDoSecrets, которая занимается хранением подобных утечек в интересах общественности.

Один из самых интересных аспектов, который раскрыли хакеры – это тесное сотрудничество Kimsuky с китайскими правительственными хакерами. Они открыто делились друг с другом инструментами и тактиками.

Идентифицировать "Кима" как государственного хакера из КНДР помогли многочисленные "артефакты и подсказки". Например, специфические конфигурации файлов и домены, которые ранее уже связывали с Kimsuky. Кроме того, злоумышленник имел четкий рабочий график: он подключался к сети около 9:00 утра и отключался в 17:00 по пхеньянскому времени, что указывает на стандартный офисный рабочий день.

Хотя действия Saber и cyb0rg технически являются преступлением, они вряд ли будут привлечены к ответственности, учитывая, что Северная Корея находится под жесткими международными санкциями. Сами хакеры считают, что члены Kimsuky заслуживают разоблачения и унижения. По их мнению, северокорейские хакеры руководствуются не идеологией, а финансовой жадностью и политическими интересами своего руководства, воруя у других для обогащения собственной элиты.