Os hackers patrocinados pelo estado norte-coreano conhecidos como Kimsuky supostamente sofreram uma violação de dados depois que dois hackers, que se descrevem como opostos aos valores de Kimsuky, roubaram os dados do grupo e os vazaram publicamente online.
Os dois hackers, chamados 'Saber' e 'cyb0rg', citaram razões éticas para suas ações, dizendo que o Kimsuky está "hackeando por todas as razões erradas", alegando que eles são movidos por agendas políticas e seguem ordens de regimes em vez de praticar a arte do hacking independentemente.
"Kimsuky, você não é um hacker. Você é movido pela ganância financeira, para enriquecer seus líderes e cumprir sua agenda política", lê-se no endereço dos hackers ao Kimsuky publicado na última edição do Phrack, que foi distribuída na conferência DEF CON 33.
"Você rouba dos outros e favorece os seus próprios. Você se valoriza acima dos outros: Você é moralmente pervertido."
Os hackers despejaram parte do backend do Kimsuky, expondo tanto suas ferramentas quanto alguns de seus dados roubados que poderiam fornecer insights sobre campanhas desconhecidas e comprometimentos não documentados.
O dump de 8,9GB atualmente hospedado no site 'Distributed Denial of Secrets' contém, entre outros:
- Logs de phishing com múltiplas contas de email dcc.mil.kr (Comando de Contra Inteligência de Defesa).
- Outros domínios alvo: spo.go.kr, korea.kr, daum.net, kakao.com, naver.com.
- Arquivo .7z contendo o código-fonte completo da plataforma de email do Ministério das Relações Exteriores da Coreia do Sul ("Kebi"), incluindo webmail, admin e módulos de arquivo.
- Referências a certificados de cidadãos sul-coreanos e listas curadas de professores universitários.
- Toolkit PHP "Generator" para construir sites de phishing com truques de evasão de detecção e redirecionamento.
- Kits de phishing ao vivo.
- Arquivos binários desconhecidos (voS9AyMZ.tar.gz, Black.x64.tar.gz) e executáveis (payload.bin, payload_test.bin, s.x64.bin) não marcados no VirusTotal.
- Cobalt Strike loaders, reverse shells e módulos de proxy Onnara encontrados no cache de arrastar-e-soltar do VMware.
- Histórico do Chrome e configurações vinculadas a contas suspeitas do GitHub (wwh1004.github.io, etc.), compras de VPN (PureVPN, ZoogVPN) via Google Pay e uso frequente de fóruns de hacking (freebuf.com, xaker.ru).
- Uso do Google Tradutor para mensagens de erro em chinês e visitas a sites do governo e militares de Taiwan.
- Histórico do Bash com conexões SSH a sistemas internos.
Os hackers observam que alguns dos itens acima já são conhecidos ou previamente documentados, pelo menos parcialmente.
No entanto, o dump dá uma nova dimensão aos dados e fornece interligações entre as ferramentas e atividades do Kimsuky, expondo e efetivamente "queimando" a infraestrutura e métodos do APT.
O site BleepingComputer contatou vários pesquisadores de segurança para confirmar a veracidade dos documentos vazados e seu valor e atualizará a história se recebermos uma resposta.
Embora a violação provavelmente não terá um impacto de longo prazo nas operações do Kimsuky, ela poderia levar a dificuldades operacionais para o Kimsuky e interrupções nas campanhas em andamento.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...