O grupo de hackers norte-coreano Kimsuky, conhecido pelos seus ciberataques patrocinados pelo estado, foi alvo de uma retaliação invulgar. Dois hackers, que se autointitulam 'Saber' e 'cyb0rg', infiltraram-se na infraestrutura do grupo, roubaram os seus dados e expuseram-nos publicamente, alegando razões éticas para a sua ação.
Segundo os atacantes, o grupo Kimsuky não representa os verdadeiros valores da cultura hacker, sendo antes motivado por agendas políticas e ordens do regime de Pyongyang. A fuga de informação foi publicada na mais recente edição da revista digital Phrack, distribuída durante a conferência de segurança DEF CON 33.
A vingança dos "hackers éticos"
Numa mensagem direta ao grupo norte-coreano, 'Saber' e 'cyb0rg' acusam o Kimsuky de não ser um verdadeiro grupo de hackers, mas sim uma entidade movida pela ganância financeira para enriquecer os seus líderes e cumprir a sua agenda política. "Roubam dos outros e favorecem os vossos. Valorizam-se acima dos outros: são moralmente pervertidos", pode ler-se na publicação.
A dupla afirma que as suas ações visam expor as práticas do Kimsuky, que consideram uma deturpação da "arte do hacking", que deveria ser praticada de forma independente e não sob ordens de um regime.
O que foi revelado na fuga de informação?
Os hackers divulgaram um volume de 8,9 GB de dados da infraestrutura interna do Kimsuky, que se encontra agora alojado no site Distributed Denial of Secrets. A informação exposta inclui ferramentas, dados roubados e detalhes sobre as suas operações, oferecendo uma visão sem precedentes sobre as suas campanhas. Entre os dados revelados, destacam-se:
Registos de phishing que visavam contas de email do Comando de Contrainteligência de Defesa da Coreia do Sul (dcc.mil.kr), bem como de outros domínios governamentais e populares como spo.go.kr, korea.kr, daum.net, kakao.com e naver.com.
O código-fonte completo da plataforma de email "Kebi" do Ministério dos Negócios Estrangeiros da Coreia do Sul, incluindo módulos de webmail, administração e arquivo.
Listas de professores universitários e referências a certificados de cidadãos sul-coreanos.
Um kit de ferramentas em PHP para a criação de sites de phishing com técnicas para evitar a deteção.
Kits de phishing ativos e binários desconhecidos que não foram sinalizados em plataformas como o VirusTotal.
Loaders para o malware Cobalt Strike, shells reversas e módulos de proxy.
Histórico do navegador Chrome que revela ligações a contas suspeitas no GitHub, compras de VPNs (PureVPN, ZoogVPN) e o uso frequente de fóruns de hacking.
Histórico de comandos Bash com ligações SSH a sistemas internos do grupo.
Um golpe duro, mas não fatal
Embora parte da informação já pudesse ser conhecida por investigadores de segurança, a sua publicação conjunta e interligada representa um golpe significativo na infraestrutura e nos métodos do Kimsuky. A exposição das suas ferramentas e táticas "queima" eficazmente os seus recursos, forçando-os a reconstruir parte das suas operações.
Ainda assim, é pouco provável que este ataque tenha um impacto devastador a longo prazo nas atividades do grupo norte-coreano. No entanto, poderá causar dificuldades operacionais e perturbar campanhas em andamento, ao mesmo tempo que levanta questões sobre a privacidade e a segurança das suas próprias operações. A versão online da revista Phrack com todos os detalhes deverá ser disponibilizada gratuitamente nos próximos dias.
Nenhum comentário
Seja o primeiro!