Хакери заявляють, що зламали комп’ютер північнокорейського урядового хакера і опублікували його вміст в Інтернеті, надавши рідкісну можливість зазирнути в хакерську діяльність цієї відомої своєю секретністю країни.

Двоє хакерів, відомих під псевдонімами Saber і cyb0rg, опублікували звіт про злом у останньому номері журналу Phrack, легендарного електронного видання про кібербезпеку, яке вперше вийшло у 1985 році. Останній номер був розповсюджений на конференції хакерів Def Con у Лас-Вегасі минулого тижня.

У статті двоє хакерів написали, що їм вдалося зламати робочу станцію, на якій знаходилася віртуальна машина та віртуальний приватний сервер, що належали хакеру, якого вони називають «Кім». Хакери стверджують, що Кім працює на північнокорейську урядову шпигунську групу, відому як Kimsuky, також відому як APT43 і Thallium. Хакери передали викрадені дані DDoSecrets, некомерційній організації, яка зберігає викрадені набори даних в інтересах громадськості.

Kimsuky — це активна група, що займається просунутими постійними загрозами (APT) і, як вважається, працює в уряді Північної Кореї. Вона націлена на журналістів і урядові установи Південної Кореї та інших країн, а також на інші цілі, що можуть бути цікавими для розвідувальних служб Північної Кореї.

Як і зазвичай у випадку з Північною Кореєю, Kimsuky також проводить операції, які більше нагадують діяльність кіберзлочинної групи — наприклад, крадіжка та відмивання криптовалют для фінансування програми ядерної зброї Північної Кореї.

Цей злом дає майже безпрецедентний погляд на діяльність Kimsuky, враховуючи, що двоє хакерів зламали одного з членів групи, а не розслідували витік даних, як це зазвичай роблять дослідники та компанії в галузі кібербезпеки.

«Це показує, наскільки відкрито «Kimsuky» співпрацює з китайськими [урядовими хакерами] і ділиться з ними своїми інструментами та техніками», — написали хакери.

Очевидно, що те, що зробили Saber і cyb0rg, технічно є злочином, хоча, ймовірно, вони ніколи не будуть притягнуті до відповідальності за це, враховуючи, що Північна Корея перебуває під жорсткими санкціями. Ці два хакери чітко вважають, що члени Kimsuky заслуговують на те, щоб їх викрили і присоромили.

«Кімсукі, ти не хакер. Ти керуєшся фінансовою жадібністю, прагнеш збагатити своїх лідерів і реалізувати їх політичні плани. Ти крадеш у інших і надаєш перевагу своїм. Ти ставиш себе вище за інших: ти морально збочений», — написали вони у Phrack. «Ти хакаєш з неправильних мотивів».

Saber і cyb0rg стверджують, що знайшли докази того, що Kimsuky зламала кілька мереж і компаній південнокорейського уряду, адреси електронної пошти та хакерські інструменти, які використовувала група Kimsuky, внутрішні посібники, паролі та інші дані.

На електронні листи, надіслані на адреси, які, як стверджується, належать хакерам і були вказані в дослідженні, відповіді не надійшло.

Хакери написали, що їм вдалося ідентифікувати Кіма як хакера північнокорейського уряду завдяки «артефактам і підказкам», які вказували на це, зокрема конфігураціям файлів і доменам, які раніше приписувалися північнокорейській хакерській групі Kimsuky.

Хакери також відзначили «суворі робочі години Кіма, який завжди підключався приблизно о 09:00 і відключався о 17:00 за пхеньянським часом».