Hackers afirmam ter violado computadores de hackers do governo norte-coreano e vazado seus planos de espionagem online, proporcionando uma rara janela para operações de hackers em um país conhecido por seu sigilo. Os dois hackers, chamados Sabre e cyb0rg, publicaram um relatório sobre o ataque hacker na última edição da revista Phrack. Phrack Magazine é uma lendária revista eletrônica de segurança cibernética fundada em 1985.

A última edição foi distribuída na semana passada na conferência de hackers Def Con em Las Vegas.

No artigo, os dois hackers escreveram que haviam comprometido com sucesso uma estação de trabalho contendo máquinas virtuais e um servidor virtual privado de propriedade de uma pessoa que eles chamavam de “Kim”. Os hackers alegaram que Kim trabalhava para o grupo de espionagem do governo norte-coreano Kimsuky, também conhecido como APT43 e Thallium. Os hackers vazaram os dados roubados para a DDoSecrets, uma organização sem fins lucrativos que armazena conjuntos de dados vazados no interesse público.

Kimsuky é um grupo ativo de ameaça persistente avançada (APT), que se acredita amplamente operar dentro do governo norte-coreano, visando jornalistas e agências governamentais na Coreia do Sul e em outros lugares, bem como outros alvos que possam ser de interesse para os serviços de inteligência norte-coreanos. 

Como é habitual na Coreia do Norte, Kim também conduziu operações mais semelhantes a um grupo cibercriminoso, como roubar e lavar criptomoedas para financiar o programa de armas nucleares da Coreia do Norte. 

O hack nos deu uma visão sem precedentes do funcionamento de Kimsuky, já que dois hackers atacaram um membro do grupo em vez de investigar violações de dados, como normalmente dependem de pesquisadores e empresas de segurança cibernética.

“Isso também nos permite ver como ‘Kim’ está trabalhando abertamente com chineses (hackers do governo) e compartilhando suas ferramentas e técnicas”, escreveram os hackers.

Ilustração do ditador norte-coreano Kim Jong Un, incluída no artigo do phrack. Fonte da imagem: Sabre e cyb0rg/Phrack

Claramente, o que Saber e cyb0rg fizeram tecnicamente constitui um crime, embora dadas as sanções a que a Coreia do Norte está sujeita, provavelmente nunca serão processados ​​por isso. Os dois hackers acreditavam claramente que os membros do Kimsuky deveriam ser expostos e humilhados.

“Kimsuky, você não é um hacker. Você é movido pela ganância por dinheiro e não quer nada mais do que enriquecer seus líderes e alcançar sua agenda política. "Você está hackeando pelos motivos errados."

Saber e cyb0rg alegaram ter descoberto evidências de invasão de Kimsuky em várias redes governamentais e empresas na Coreia do Sul, bem como endereços de e-mail e ferramentas de hacking usadas pela organização Kimsuky, manuais internos, senhas e outros dados. 

Um e-mail enviado para um endereço listado na investigação e supostamente pertencente ao hacker ficou sem resposta. 

Os hackers escreveram que conseguiram identificar Kim como um hacker do governo norte-coreano graças a “evidências e dicas” que apontavam nessa direção, incluindo configurações de arquivos e nomes de domínio anteriormente atribuídos ao grupo de hackers norte-coreano Kimsuky. 

Os hackers também observaram que Kim Jong Un “mantém horários de expediente rígidos, sempre conectando-se por volta das 9h e desconectando-se às 17h, horário de Pyongyang”.