Hackers infiltran y exponen una operación de espionaje de gran envergadura de Corea del Norte.
Créditos de la imagen: Contribuyente / Getty Images
Hackers afirman haber comprometido la computadora de un hacker del gobierno de Corea del Norte y haber filtrado su contenido en línea, ofreciendo una rara ventana a una operación de hacking por parte de la nación notoriosamente secreta.
Los dos hackers, que se hacen llamar Saber y cyb0rg, publicaron un informe sobre el incidente en el último número de Phrack magazine, una legendaria revista electrónica de ciberseguridad que se publicó por primera vez en 1985. El último número se distribuyó en la conferencia de hackers Def Con en Las Vegas la semana pasada.
En el artículo, los dos hackers escribieron que lograron comprometer una estación de trabajo que contenía una máquina virtual y un servidor privado virtual pertenecientes al hacker, al que llaman “Kim.” Los hackers afirman que Kim trabaja para el grupo de espionaje del gobierno de Corea del Norte conocido como Kimsuky, también conocido como APT43 y Thallium. Los hackers filtraron los datos robados a DDoSecrets, una colectiva sin fines de lucro que almacena conjuntos de datos filtrados en el interés público.
Kimsuky es un grupo de amenazas persistentes avanzadas, o APT, ampliamente creído para estar trabajando dentro del gobierno de Corea del Norte, dirigido a periodistas, agencias gubernamentales en Corea del Sur y en otros lugares, y otros objetivos que podrían ser de interés para el aparato de inteligencia de Corea del Norte.
Como es usual con Corea del Norte, Kimsuky también realiza operaciones más propias de un grupo de cibercriminales, por ejemplo robando y lavando criptomonedas para financiar el programa de armas nucleares de Corea del Norte.
Este hack ofrece una casi inigualable visión del funcionamiento de Kimsuky, dado que los dos hackers comprometieron a uno de los miembros del grupo, en lugar de investigar una brecha de datos como suelen hacer los investigadores de ciberseguridad y las empresas.
“Muestra un vistazo de cómo ‘Kimsuky’ colabora abiertamente con hackers chinos [del gobierno] y comparte sus herramientas y técnicas,” escribieron los hackers.
Una ilustración del dictador de Corea del Norte, Kim Jong-un, que se incluyó en el artículo de Phrack (Imagen: Saber y cyb0rg/Phrack)
Obviamente, lo que Saber y cyb0rg hicieron es técnicamente un delito, aunque es poco probable que sean procesados por ello, considerando que Corea del Norte está sanccionada hasta los ojos. Los dos hackers claramente creen que los miembros de Kimsuky merecen ser expuestos y avergonzados.
“Kimsuky, tú no eres un hacker. Eres impulsado por la codicia financiera, para enriquecer a tus líderes y cumplir con su agenda política. Robas de otros y favoreces a los tuyos. Te valoras por encima de los demás: eres moralmente pervertido,” escribieron en Phrack. “Hackeas por todas las razones equivocadas.”
Saber y cyb0rg afirman haber encontrado evidencia de que Kimsuky comprometió varias redes y empresas del gobierno de Corea del Sur, direcciones de correo electrónico, herramientas de hacking utilizadas por el grupo Kimsuky, manuales internos, contraseñas y más datos.
Los correos electrónicos enviados a las direcciones supuestamente pertenecientes a los hackers, que se listaron en la investigación, quedaron sin respuesta.
Los hackers escribieron que lograron identificar a Kim como un hacker del gobierno de Corea del Norte, gracias a “artículos y pistas” que apuntaban en esa dirección, incluyendo configuraciones de archivos y dominios previamente atribuidos al grupo de hacking de Corea del Norte Kimsuky.
Los hackers también señalaron las “estrictas horas de oficina de Kim, siempre conectándose alrededor de las 09:00 y desconectándose a las 17:00 hora de Pyongyang.”