دو هکر با نامهای Saber و cyb0rg با نفوذ به رایانه یکی از هکرهای وابسته به دولت کره شمالی و انتشار آنلاین محتوای آن، جزئیات نادری از یک عملیات جاسوسی محرمانه این کشور را فاش کردند.
به گزارش تکناک، این اقدام که در تازهترین شماره مجله معتبر امنیت سایبری Phrack منتشر شده است، هفته گذشته در کنفرانس هکرهای Def Con در لاسوگاس معرفی شد.
این دو هکر موفق شدند به یک ورکاستیشن حاوی ماشین مجازی و سرور خصوصی مجازی متعلق به فردی با نام “Kim” نفوذ کنند. آنان مدعی شدند که Kim عضو گروه جاسوسی سایبری کره شمالی موسوم به Kimsuky است؛ گروهی که با نامهای APT43 و Thallium نیز شناخته میشود. دادههای سرقتشده در اختیار سازمان غیرانتفاعی DDoSecrets قرار گرفت، که مجموعه دادههای افشاشده را برای استفاده عمومی ذخیره میکند.
گروه Kimsuky به عنوان یک تهدید پیشرفته و ماندگار (APT) شناخته میشود، که به باور کارشناسان در چارچوب دولت کره شمالی فعالیت میکند و اهدافی مانند: روزنامهنگاران، نهادهای دولتی کره جنوبی و دیگر سازمانهای مورد توجه دستگاه اطلاعاتی پیونگیانگ را هدف قرار میدهد. همچنین این گروه فعالیتهایی مشابه باندهای مجرم سایبری انجام میدهد، که از جمله آنها میتوان به سرقت و پولشویی رمزارزها برای تأمین مالی برنامه تسلیحات هستهای کره شمالی اشاره کرد.
به گفته Saber و cyb0rg، دادههای بهدستآمده از عملیات جاسوسی کره شمالی نشان میدهد که Kimsuky بهطور آشکار با هکرهای دولتی چین همکاری میکند و ابزارها و تکنیکهای خود را با آنان به اشتراک میگذارد. این سطح از افشاگری بسیار کمسابقه است، چرا که برخلاف تحقیقات معمول، هکرها موفق به نفوذ مستقیم به یکی از اعضای گروه شدهاند.
هرچند اقدام این دو از نظر فنی جرم به حساب میآید، اما با توجه به تحریمهای گسترده علیه کره شمالی، احتمال پیگرد قانونی آنان اندک است. Saber و cyb0rg در بیانیهای نوشتند که هدف آنها افشای ماهیت واقعی این گروه و رسواسازی اعضای آن بوده است.
آنها در انتقاد شدید از Kimsuky گفتند: «شما هکر نیستید؛ شما به دلیل حرص مالی و پیشبرد دستورکار سیاسی رهبران خود هک میکنید. شما از دیگران میدزدید و خود را برتر از دیگران میدانید. شما از نظر اخلاقی فاسد هستید و برای تمام دلایل اشتباه هک میکنید.»
به ادعای این دو هکر، اطلاعات بهدستآمده شامل شواهدی از نفوذ به چند شبکه دولتی و شرکتی کره جنوبی، آدرسهای ایمیل، ابزارهای هک، راهنماهای داخلی، گذرواژهها و دادههای دیگر است. همچنین آنها با بررسی «نشانهها و سرنخها» از جمله پیکربندی فایلها و دامنههای مرتبط با Kimsuky توانستهاند هویت Kim را به عنوان هکر دولتی کره شمالی تأیید کنند. گزارشها حاکی از آن است که این فرد در ساعات کاری منظم، از ساعت ۹ صبح تا ۵ عصر به وقت پیونگیانگ فعالیت میکند.
افشاگری این عملیات جاسوسی، نگاهی بیسابقه به سازوکار داخلی یکی از فعالترین گروههای هکری جهان ارائه میدهد و بار دیگر بر نقش کره شمالی در حملات سایبری پیشرفته و همکاریهای بینالمللی آن در این حوزه تأکید میکند.
