Утечка базы данных северокорейских хакеров

В результате кибератаки произошла утечка базы данных APT-группировки Kimsuky из КНДР. Утечка базы данных спровоцирована этическими мотивами.

Два хакера под псевдонимами Saber and cyb0rg заявили об успешном взломе ресурсов северокорейской группировки Kimsuky, которая, как считают многие специалисты, находится под эгидой властей КНДР. В результате кибератаки данные, которыми обладала эта группировка, были украдены и выложены в открытый доступ.

Свои действия Saber и cyb0rg объяснили неприятием методов Kimsuky, которая, по их словам, служит политическим интересам и выполняет приказы вместо того, чтобы самостоятельно совершенствовать «искусство хакинга».

«Kimsuky, ты не хакер. Тобой движет финансовая жадность, желание обогатить своих лидеров и реализовать их политические планы», — говорится в обращении хакеров к Kimsuky, опубликованном в последнем выпуске журнала Phrack, который распространялся на конференции DEF CON 33.

Хакерам удалось проникнуть в бекэнд Kimsuky, раскрыв как инструментарий этой группировки, так и многие данные, публикация которых может пролить свет на неизвестные кампании северокорейских злоумышленников и ранее не задокументированные взломы.

На ресурсе Distributed Denial of Secrets выложен набор данных хакеров из КНДР, который, в частности, содержит:

• Логи фишинга и несколько учетных записей электронной почты военной контрразведки США.
• Ряд целевых доменов: spo.go.kr, korea.kr, daum.net, kakao.com, naver.com.
• Архив .7z с полным исходным кодом почтовой платформы Министерства иностранных дел Южной Кореи.
• Ссылки на сертификаты граждан Южной Кореи и проверенные списки университетских профессоров.
• Инструментарий PHP "Generator" для создания фишинговых сайтов с редиректом и обходом обнаружения.
• Неизвестные двоичные архивы (voS9AyMZ.tar.gz, Black.x64.tar.gz) и исполняемые файлы (payload.bin, payload_test.bin, s.x64.bin), не отмеченные в VirusTotal.
• Загрузчики Cobalt Strike, обратные оболочки (reverse shell) и прокси-модули Onnara, обнаруженные в кэше Drag-and-Drop VMware.
• История и конфигурация браузера Chrome со ссылками на подозрительные аккаунты GitHub.
• Покупки приложений VPN (PureVPN, ZoogVPN) через Google Pay и история использования хакерских форумов (freebuf.com, xaker.ru).
• Использование Google Translate с ошибками на китайском языке, история посещений правительственных и военных сайтов Тайваня.
• История применения командной оболочки Bash с SSH-подключениями к внутренним системам.

Хакеры отмечают, что некоторые из вышеперечисленных проблем уже известны и, по крайней мере, уже частично задокументированы.

Однако, эта утечка данных открывает новое измерение и обеспечивает взаимосвязь между инструментами и действиями Kimsuky, фактически обнажая ее инфраструктуру и APT-методы.

Впрочем, по мнению экспертов, этот инцидент, скорее всего, не окажет длительного влияния на деятельность северокорейских хакеров. Он лишь может затруднить операционную деятельность Kimsuky и привести к сбоям в некоторых текущих кампаниях.

Источник: Bleeping Computer