Хакеры взломали северокорейскую группировку Kimsuky и выложили её данные в открытый доступ

Группировка Kimsuky, которую считают одной из ключевых кибершпионских структур Северной Кореи, сама оказалась жертвой утечки данных. Два независимых хакера под псевдонимами Saber и cyb0rg заявили, что взломали инфраструктуру Kimsuky и выложили украденные материалы в открытый доступ, мотивируя это «этическими соображениями».

По словам атакующих, их цель — разоблачить действия Kimsuky, которые они назвали «взломом ради политических целей и обогащения руководства», а не ради настоящего искусства хакерства. Часть заявления была опубликована в свежем выпуске хакерского журнала Phrack и представлена на конференции DEF CON 33.

В результате утечки на платформе Distributed Denial of Secrets оказался архив объёмом 8,9 ГБ. Среди содержимого: логи фишинговых атак на военные и государственные домены Южной Кореи, полный исходный код почтовой системы МИД Южной Кореи «Kebi», списки университетских профессоров, наборы инструментов для создания фишинговых страниц с обходом защит, а также вредоносные модули, обратные шеллы и загрузчики Cobalt Strike. В файлах также обнаружены данные о VPN-подписках, история браузера Chrome с посещением правительственных сайтов Тайваня и следы активности на хакерских форумах.

Эксперты считают, что хотя утечка вряд ли полностью парализует работу Kimsuky, она может временно нарушить их операции, «сжечь» инфраструктуру и раскрыть методы, которые ранее оставались неизвестными. Сейчас специалисты по кибербезопасности проверяют подлинность опубликованных данных и оценивают, насколько они могут помочь в противодействии будущим атакам.