Хакеры под никами Saber и cyb0rg опубликовали статью в последнем номере журнала Phrack (легендарного езина, который издается с 1985 года). Юбилейный выпуск журнала, посвященный 40-летию Phrack, распространялся на конференции DEF CON. В материале они рассказали о взломе участника северокорейской шпионской хак-группы Kimsuky (она же APT43 и Thallium).
Авторы статьи заявляют, что смогли скомпрометировать рабочую станцию с виртуальной машиной и VPS, принадлежащие северокорейскому хакеру, которого они называют «Ким». Это позволило им скомпрометировать почти 20 000 записей и историю браузеров Chrome и Brave, принадлежащих злоумышленнику, похитить руководства по эксплуатации малвари, пароли и адреса электронной почты, а также учетные данные для различных инструментов.
Хакеры передали все украденные данные представителям группы активистов DDoSecrets (Distributed Denial of Secrets), которые позиционируют себя как «борцов за прозрачность», индексируют и хранят утечки данных в общественных интересах.
Kimsuky — известная APT-группировка, которую связывают с правительством Северной Кореи. Чаще всего она нацелена на журналистов, активистов и госслужбы в Южной Корее и других странах, а также на другие цели, которые могут представлять интерес для разведаппарата КНДР. При этом Kimsuky, как и многие другие северокорейские хак-группы, проводит и другие операции, то есть занимается кражей и отмыванием криптовалюты.
Хакеры утверждают, что взлом участника группировки – это практически беспрецедентная возможность посмотреть на операции Kimsuky изнутри.
«Это показывает, насколько открыто Kimsuky сотрудничает с китайскими [правительственными хакерами] и делится с ними своими инструментами и техниками», — пишут авторы статьи.
Нельзя не отметить, что содеянное Saber и cyb0rg технически является преступлением, хотя их вряд ли когда-либо будут преследовать за этот взлом. При этом сами хакеры считают, что члены Kimsuky заслуживают разоблачения и позора.
«Kimsuky, вы не хакеры. Вами движет жадность, стремление обогатить ваших лидеров и реализовать их политические планы. Вы воруете у других и отдаете своим. Вы ставите себя выше других. Вы морально развращены, — гласит статья во Phrack. — Вы занимаетесь хакингом по совсем неправильным причинам».
В публикации Saber и cyb0rg утверждают, что во взломанных системах они нашли доказательства компрометации группой Kimsuky нескольких южнокорейских государственных сетей и компаний, email-адреса и хакерские инструменты, используемые группой, внутренние мануалы, пароли и другие данные.
«Некоторые из этих инструментов, вероятно, уже известны сообществу: вы видели их сканы и обнаруживали артефакты и импланты на стороне сервера, — пишут Saber и cyb0rg. — Теперь вы также увидите клиентскую часть, документацию, пароли, исходный код и командные файлы».
Авторы статьи заявили, что им удалось идентифицировать «Кима» как северокорейского хакера благодаря различным «артефактам и подсказкам», включая конфигурации файлов и домены, которые ранее уже связывали с операциями Kimsuky.
Как уже отметили специалисты Trend Micro, проанализировавшие утечку, вероятно, это поможет ИБ-компаниям лучше понять возможности и цели «правительственных» хакеров.
«Раскрытая информация очень важна для понимания деятельности злоумышленников, связанных с государственными структурами. Это добавляет новые детали к головоломке китайских киберопераций и проливает свет на глубину действий атакующих, а также их повседневные операции и сферы их интересов», — говорят специалисты.
Однако в Trend Micro отметили, что улики свидетельствуют о том, что пострадавший от взлома хакер совсем не обязательно связан с Северной Кореей. К примеру, он, по всей видимости, говорит по-китайски, а не по-корейски. История браузера, закладки и список посещенных им сайтов тоже скорее указывают на связь с Китаем.
Кроме того, злоумышленник располагал рядом инструментов (например, клиентским кодом эксплоита для бэкдора Ivanti), которые широко используются китайскими APT-группами, вроде UNC5221.
«Злоумышленник, вероятно, связан с Китаем и работает с соответствующими целями — Тайванем, Японией, Южной Кореей. Однако он осведомлен о Kimsuky и, возможно, сотрудничает с ними или пытается имитировать их поведение, чтобы запутать защитников», — предполагают специалисты.
Редакция «Хакера» уже подготовила перевод статьи Saber и cyb0rg. Материл доступен без платной подписки.
