Os hackers patrocinados pelo Estado norte-coreano, conhecidos como Kimsuky, sofreram uma violação de dados depois que dois hackers, que se descrevem como o oposto dos valores de Kimsuky, roubaram os dados do grupo e os vazaram publicamente online.
Os dois hackers, chamados ‘Saber’ e ‘cyb0rg’, citaram razões éticas para suas ações, dizendoKimsuky é “hackear por todas as razões erradas”, alegando que eles são movidos por agendas políticas e seguem as ordens do regime em vez de praticar a arte de hackear de forma independente.
“Kimsuky, você não é um hacker. Você é movido pela ganância financeira, para enriquecer seus líderes e cumprir sua agenda política”, diz o discurso dos hackers a Kimsuky publicado na última edição da Phrack, que foi distribuído na conferência DEF CON 33.
“Você rouba dos outros e favorece os seus. Você se valoriza acima dos outros: você é moralmente.
Os hackers despejaram uma parte do back-end do Kimsuky, expondo suas ferramentas e alguns de seus dados roubados que poderiam fornecer informações sobre campanhas desconhecidas e comprometimentos não documentados.
O dump de 8,9 GB atualmente hospedado no ‘Negação Distribuída de Segredos’‘ contém, entre outros:
- Logs de phishing com várias contas de e-mail dcc.mil.kr (Comando de Contrainteligência de Defesa).
- Outros domínios segmentados: spo.go.kr, korea.kr, daum.net, kakao.com naver.com.
- .7z arquivo contendo o código-fonte completo da plataforma de e-mail do Ministério das Relações Exteriores da Coreia do Sul (“Kebi”), incluindo webmail, admin e módulos de arquivo.
- Referências a certificados de cidadãos sul-coreanos e listas selecionadas de professores universitários.
- Kit de ferramentas PHP “Generator” para criar sites de phishing com evasão de detecção e truques de redirecionamento.
- Kits de phishing ao vivo.
- Arquivos binários desconhecidos (voS9AyMZ.tar.gz, Black.x64.tar.gz) e executáveis (payload.bin, payload_test.bin, s.x64.bin) não sinalizados no VirusTotal.
- Carregadores Cobalt Strike, shells reversos e módulos de proxy Onnara encontrados no cache de arrastar e soltar do VMware.
- Histórico e configurações do Chrome vinculados a contas suspeitas do GitHub (wwh1004.github.io, etc.), compras de VPN (PureVPN, ZoogVPN) via Google Pay e uso frequente de fóruns de hackers (freebuf.com, xaker.ru).
- Uso do Google Tradutor para mensagens de erro em chinês e visitas a sites militares e governamentais de Taiwan.
- Histórico do Bash com conexões SSH para sistemas internos.
Os hackers observam que alguns dos itens acima já são conhecidos ou documentados anteriormente, pelo menos parcialmente.
No entanto, o despejo dá uma nova dimensão aos dados e fornece interligação entre as ferramentas e atividades de Kimsuky, expondo e efetivamente “queimando” a infraestrutura e os métodos do APT.
O BleepingComputer entrou em contato com vários pesquisadores de segurança para confirmar a veracidade dos documentos vazados e seu valor e atualizará a história se recebermos uma resposta.
Embora a violação provavelmente não tenha impacto de longo prazo nas operações da Kimsuky, ela pode levar a dificuldades operacionais para a Kimsuky e interrupções nas campanhas em andamento.
A última edição de Phrack (# 72) está atualmente disponível apenas em uma cópia física limitada, mas a versão online deve estar pronta para as pessoas lerem gratuitamente nos próximos dias daqui.
