Информационная безопасность получила редкую возможность заглянуть во внутренние процессы государственного кибершпионажа благодаря действиям двух хакеров-активистов. В юбилейном выпуске легендарного журнала Phrack, распространявшемся на конференции DEF CON, были опубликованы результаты взлома участника северокорейской APT-группировки Kimsuky.
Детали беспрецедентного взлома государственных хакеров
Хакеры под псевдонимами Saber и cyb0rg сумели скомпрометировать рабочую станцию северокорейского оператора, получив доступ к виртуальной машине и VPS-серверу. Результаты операции оказались впечатляющими: злоумышленникам удалось извлечь почти 20 000 записей, включая историю браузеров Chrome и Brave, руководства по эксплуатации вредоносного ПО, пароли и учетные данные различных инструментов.
Все похищенные данные были переданы группе активистов DDoSecrets (Distributed Denial of Secrets), которая специализируется на индексации и хранении утечек данных в общественных интересах. Эта организация позиционирует себя как борцов за прозрачность в сфере государственной деятельности.
Kimsuky: портрет северокорейской киберугрозы
Группировка Kimsuky, также известная как APT43 и Thallium, представляет собой одну из наиболее активных APT-групп, связанных с правительством КНДР. Основными целями организации традиционно выступают журналисты, активисты и государственные служащие в Южной Корее, а также другие объекты, представляющие интерес для северокорейской разведки.
Помимо классического кибершпионажа, Kimsuky активно участвует в финансово мотивированных операциях, включая кражу и отмывание криптовалют — характерную особенность северокорейских хакерских группировок.
Неожиданные открытия о международном сотрудничестве
Анализ украденных данных выявил интригующие детали о взаимодействии между различными государственными хакерскими группировками. Авторы взлома отмечают: «Это показывает, насколько открыто Kimsuky сотрудничает с китайскими правительственными хакерами и делится с ними своими инструментами и техниками».
Во взломанных системах были обнаружены доказательства компрометации нескольких южнокорейских государственных сетей и коммерческих компаний, а также обширная коллекция хакерских инструментов, внутренних руководств и паролей.
Сомнения в атрибуции: китайский след
Специалисты Trend Micro, проанализировавшие утечку, высказали обоснованные сомнения относительно национальной принадлежности скомпрометированного хакера. Улики указывают на то, что злоумышленник скорее связан с Китаем, чем с Северной Кореей: он использует китайский язык, его браузерная история и закладки указывают на китайские интересы.
Кроме того, в арсенале хакера были обнаружены инструменты, широко используемые китайскими APT-группами, включая клиентский код эксплоита для бэкдора Ivanti, характерный для группировки UNC5221.
Этические вопросы и значение для кибербезопасности
Несмотря на техническую незаконность действий Saber и cyb0rg, их взлом предоставил специалистам по информационной безопасности уникальную возможность изучить внутренние механизмы государственного кибершпионажа. Как отмечают эксперты, полученная информация значительно расширяет понимание возможностей и целей правительственных хакерских групп.
Данное разоблачение добавляет новые элементы к сложной головоломке международных киберопераций и демонстрирует глубину взаимодействия между различными государственными хакерскими группировками. Для специалистов по кибербезопасности эта информация представляет неоценимую ценность при разработке защитных мер против Advanced Persistent Threats и понимании эволюции тактик государственных киберугроз.
