Pranešama, kad Šiaurės Korėjos valstybės remiami įsilaužėliai, žinomi kaip Kimsuky, patyrė duomenų pažeidimą po to, kai du įsilaužėliai, kurie apibūdina save kaip priešingybę Kimsuky vertybėms, pavogė grupės duomenis ir viešai leido jį viešai internete.
Du įsilaužėliai, pavadinti „Sabre“ ir „Cyb0RG“, nurodė etines jų veiksmų priežastis, sakydami, kad Kimsuky yra „įsilaužęs dėl visų neteisingų priežasčių“, tvirtindamas, kad juos skatina politinės darbotvarkės ir laikosi režimo įsakymų, užuot praktikuojanti meną, kurį įsilaužė savarankiškai.
„Kimsuky, tu nesi įsilaužėlis. Jus skatina finansinis godumas, praturtinti savo lyderius ir įvykdyti jų politinę darbotvarkę”, – rašoma įsilaužėlių adresas Kimsuky, išleistam naujausiame „Phrack“ numeryje, kuris buvo paskirstytas DES CON 33 konferencijoje.
„Jūs vagiate iš kitų ir teikiate pirmenybę savo. Jūs vertinate save aukščiau kitų: esate moraliai iškrypęs.”
Įsilaužėliai išmetė dalį Kimsuky užpakalinės dalies, atskleisdami jų įrankius ir kai kuriuos pavogtus duomenis, kurie galėtų suteikti įžvalgos apie nežinomas kampanijas ir dokumentų neturinčius kompromisus.
Šiuo metu svetainėje „Paskirstytas paslapčių neigimas“, be kita ko: 8,9 GB sąvartyne, be kita ko:
- Sukčiavimo žurnalai su keliomis dcc.mil.kr (gynybos kontržvalgybos komanda) el. Pašto paskyros.
- Kiti tiksliniai domenai: Spo.go.kr, Korea.kr, Daum.net, Kakao.com, Naver.com.
- .7Z archyvas, kuriame yra visas Pietų Korėjos užsienio reikalų ministerijos el. Pašto platformos („KEBI“) šaltinio kodas, įskaitant žiniatinklio paštą, administratorių ir archyvų modulius.
- Nuorodos į Pietų Korėjos piliečių pažymėjimus ir kuruojamus universiteto profesorių sąrašus.
- PHP „Generator“ įrankių rinkinys, skirtas sukčiavimo sukčiavimo vietoms kurti su aptikimo vengimu ir peradresavimo gudrybėmis.
- Gyvi sukčiavimo rinkiniai.
- Nežinomi dvejetainiai archyvai (vos9aymz.tar.gz, black.x64.tar.gz) ir vykdomieji elementai („PayLoad.bin“, „PayLoad_test.bin“, „S.x64.Bin“) nėra pažymėti virusotal.
- „Cobalt Strike“ krautuvai, atvirkštiniai apvalkalai ir „Onnara“ tarpinių serverių moduliai, rasti „VMware Drag-and-Drop“ talpykloje.
- „Chrome“ istorija ir konfigūracijos, susiejančios su įtartinomis „GitHub“ paskyromis (WWH1004.Github.io ir kt.), VPN Pirkimo (PureVPN, ZoogVPN) per „Google Pay“ ir dažnai naudojamas įsilaužimo forumuose (freeBuf.com, xaker.ru).
- „Google“ verčia naudoti Kinijos klaidų pranešimus ir apsilankymus Taivano vyriausybėje ir karinėse svetainėse.
- „Bash“ istorija su SSH ryšiais su vidinėmis sistemomis.
Įsilaužėliai pažymi, kad kai kurie iš aukščiau paminėtųjų jau yra žinomi arba bent jau anksčiau dokumentais.
Tačiau sąvartynas suteikia naują dimensiją duomenims ir suteikia ryšį tarp Kimsuky įrankių ir veiklos, atskleidžiant ir veiksmingai „deginant“ APT infrastruktūrą ir metodus.
„Bleepingcomputer“ susisiekė su įvairiais saugumo tyrinėtojais, kad patvirtintų nutekėjusių dokumentų ir jo vertės teisingumą ir atnaujins istoriją, jei gausime atsakymą.
Nors pažeidimas greičiausiai neturės ilgalaikio poveikio Kimsuky operacijoms, tai gali sukelti Kimsuky veiklos sunkumus ir vykstančių kampanijų sutrikimus.
Naujausias „Phrack“ numeris (#72) šiuo metu yra tik ribotos fizinės kopijos, tačiau internetinė versija turėtų būti paruošta žmonėms, kuriuos kitomis dienomis galima nemokamai skaityti.
46% aplinkos slaptažodžiai buvo nulaužti, beveik padvigubėjo nuo 25% pernai.
Dabar gaukite „Picus Blue Report 2025“, kad galėtumėte išsamiai įvertinti daugiau išvadų apie prevencijos, aptikimo ir duomenų eksfiltravimo tendencijas.
