گروه هکرهای تحت حمایت دولت کره شمالی، معروف به Kimsuky، بهدنبال نقض دادهای که توسط دو هکر با نامهای Saber و cyb0rg انجام شد، منجر افشای اطلاعات شده است. این دو هکر، که خود را مخالف ارزشهای Kimsuky معرفی کردهاند، دادههای این گروه را سرقت کرده و بهصورت عمومی منتشر کردند.
چرا گروه Kimsuky لو رفتند؟
این دو هکر دلایل اخلاقی را برای اقدامات خود ذکر کردند و اظهار داشتند که Kimsuky به دلایل نادرست هک میکند و تحت دستور رژیم برای پیشبرد اهداف سیاسی و مالی و نه بهعنوان هکرهای مستقل فعالیت میکند. آنها در بیانیهای که در آخرین شماره مجله Phrack در کنفرانس DEF CON 33 منتشر شد، اعلام کردند که Kimsuky برای کسب سود مالی و تحقق اهداف سیاسی رهبرانش عمل میکند و از دیگران سرقت کرده و خود را برتر میداند. این هکرها بخشی از زیرساختهای پشتیبان Kimsuky را منتشر کردند که شامل ابزارهای این گروه و برخی دادههای سرقتی است و میتواند بینشی درباره کمپینهای ناشناخته و نفوذهای مستندنشده ارائه دهد.
مجموعه دادهای ۸.۹ گیگابایتی که اکنون در وبسایت Distributed Denial of Secrets میزبانی میشود، شامل موارد زیر است:
- گزارشهای فیشینگ با چندین حساب ایمیل dcc.mil.kr (فرماندهی ضداطلاعات دفاعی).
- دامنههای هدف دیگر: spo.go.kr، korea.kr، daum.net، kakao.com، naver.com.
- آرشیو .7z حاوی کد منبع کامل پلتفرم ایمیل وزارت امور خارجه کره جنوبی (Kebi)، شامل ماژولهای وبمیل، مدیریت و آرشیو.
- ارجاعات به گواهیهای شهروندان کره جنوبی و فهرستهای تنظیمشده اساتید دانشگاه.
- ابزار PHP “Generator” برای ساخت سایتهای فیشینگ با قابلیتهای فرار از شناسایی و هدایت مجدد.
- کیتهای فیشینگ زنده.
- آرشیوهای باینری ناشناخته (voS9AyMZ.tar.gz، Black.x64.tar.gz) و فایلهای اجرایی (payload.bin، payload_test.bin، s.x64.bin) که در VirusTotal شناسایی نشدهاند.
- لودرهای Cobalt Strike، شلهای معکوس و ماژولهای پراکسی Onnara که در کش VMware drag-and-drop یافت شدهاند.
- تاریخچه Chrome و فایلهای پیکربندی مرتبط با حسابهای مشکوک GitHub (مانند wwh1004.github.io)، خریدهای VPN (PureVPN، ZoogVPN) از طریق Google Pay و بازدیدهای مکرر از انجمنهای هک (freebuf.com، xaker.ru).
- استفاده از Google Translate برای پیامهای خطای چینی و بازدید از وبسایتهای دولتی و نظامی تایوان.
- تاریخچه Bash که نشاندهنده اتصالات SSH به سیستمهای داخلی است.
هکرها خاطرنشان کردند که برخی از این موارد قبلا شناختهشده یا تا حدی مستند شدهاند. با این حال، این مجموعه داده بعد جدیدی به اطلاعات میدهد و ارتباط بین ابزارها و فعالیتهای Kimsuky را نشان میدهد، که عملا زیرساخت و روشهای این گروه APT را افشا و مختل میکند.
اگرچه این نقض دادهای احتمالا تأثیر بلندمدتی بر عملیات Kimsuky نخواهد داشت؛ اما میتواند مشکلات عملیاتی و اختلالاتی در کمپینهای جاری این گروه ایجاد کند. آخرین شماره Phrack (#72) در حال حاضر فقط در نسخههای فیزیکی محدود در دسترس است؛ اما نسخه آنلاین آن طی روزهای آینده بهصورت رایگان در دسترس خواهد بود.
