افشای عملیات جاسوسی بزرگ کره شمالی توسط دو هکر بین‌المللی

دو هکر با نام‌های Saber و cyb0rg با نفوذ به رایانه یکی از هکرهای وابسته به دولت کره شمالی و انتشار آنلاین محتوای آن، جزئیات نادری از یک عملیات جاسوسی محرمانه این کشور را فاش کردند.

تهران-ایران ویو24

این اقدام که در تازه‌ترین شماره مجله معتبر امنیت سایبری Phrack منتشر شده است، هفته گذشته در کنفرانس هکرهای Def Con در لاس‌وگاس معرفی شد.

این دو هکر موفق شدند به یک ورک‌استیشن حاوی ماشین مجازی و سرور خصوصی مجازی متعلق به فردی با نام “Kim” نفوذ کنند. آنان مدعی شدند که Kim عضو گروه جاسوسی سایبری کره شمالی موسوم به Kimsuky است؛ گروهی که با نام‌های APT43 و Thallium نیز شناخته می‌شود. داده‌های سرقت‌شده در اختیار سازمان غیرانتفاعی DDoSecrets قرار گرفت، که مجموعه داده‌های افشاشده را برای استفاده عمومی ذخیره می‌کند.

گروه Kimsuky به‌ عنوان یک تهدید پیشرفته و ماندگار (APT) شناخته می‌شود، که به باور کارشناسان در چارچوب دولت کره شمالی فعالیت می‌کند و اهدافی مانند: روزنامه‌نگاران، نهادهای دولتی کره جنوبی و دیگر سازمان‌های مورد توجه دستگاه اطلاعاتی پیونگ‌یانگ را هدف قرار می‌دهد. همچنین این گروه فعالیت‌هایی مشابه باندهای مجرم سایبری انجام می‌دهد، که از جمله آنها می‌توان به سرقت و پول‌شویی رمزارزها برای تأمین مالی برنامه تسلیحات هسته‌ای کره شمالی اشاره کرد.

به گفته Saber و cyb0rg، داده‌های به‌دست‌آمده از عملیات جاسوسی کره شمالی نشان می‌دهد که Kimsuky به‌طور آشکار با هکرهای دولتی چین همکاری می‌کند و ابزارها و تکنیک‌های خود را با آنان به اشتراک می‌گذارد. این سطح از افشاگری بسیار کم‌سابقه است، چرا که برخلاف تحقیقات معمول، هکرها موفق به نفوذ مستقیم به یکی از اعضای گروه شده‌اند.

هرچند اقدام این دو از نظر فنی جرم به حساب می‌آید، اما با توجه به تحریم‌های گسترده علیه کره شمالی، احتمال پیگرد قانونی آنان اندک است. Saber و cyb0rg در بیانیه‌ای نوشتند که هدف آنها افشای ماهیت واقعی این گروه و رسواسازی اعضای آن بوده است.

آنها در انتقاد شدید از Kimsuky گفتند: «شما هکر نیستید؛ شما به‌ دلیل حرص مالی و پیشبرد دستورکار سیاسی رهبران خود هک می‌کنید. شما از دیگران می‌دزدید و خود را برتر از دیگران می‌دانید. شما از نظر اخلاقی فاسد هستید و برای تمام دلایل اشتباه هک می‌کنید.»

به ادعای این دو هکر، اطلاعات به‌دست‌آمده شامل شواهدی از نفوذ به چند شبکه دولتی و شرکتی کره جنوبی، آدرس‌های ایمیل، ابزارهای هک، راهنماهای داخلی، گذرواژه‌ها و داده‌های دیگر است. همچنین آنها با بررسی «نشانه‌ها و سرنخ‌ها» از جمله پیکربندی فایل‌ها و دامنه‌های مرتبط با Kimsuky توانسته‌اند هویت Kim را به‌ عنوان هکر دولتی کره شمالی تأیید کنند. گزارش‌ها حاکی از آن است که این فرد در ساعات کاری منظم، از ساعت ۹ صبح تا ۵ عصر به وقت پیونگ‌یانگ فعالیت می‌کند.

افشاگری این عملیات جاسوسی، نگاهی بی‌سابقه به سازوکار داخلی یکی از فعال‌ترین گروه‌های هکری جهان ارائه می‌دهد و بار دیگر بر نقش کره شمالی در حملات سایبری پیشرفته و همکاری‌های بین‌المللی آن در این حوزه تأکید می‌کند.