Hackerlar, Kuzey Kore hükümetine bağlı bir siber suçlunun bilgisayarını ele geçirdiklerini ve içeriğini çevrimiçi olarak sızdırdıklarını iddia ediyor. Bu durum, gizli bir ülkenin casusluk operasyonuna dair nadir bir bakış açısı sunuyor.
Saber ve cyb0rg takma adını kullanan iki hacker, bu ihlali Phrack dergisinin son sayısında detaylandırdı. Phrack, 1985 yılında yayımlanmaya başlayan efsanevi bir siber güvenlik e-dergisidir. Son sayısı, geçen hafta Las Vegas’taki Def Con hacker konferansında dağıtıldı.
Hackerlar, “Kim” adını verdikleri Kuzey Koreli siber suçlunun sanal bir makine ve sanal özel sunucuyu içeren bir çalışma istasyonunu ele geçirdiklerini belirtti. Kim’in, Kuzey Kore hükümetine bağlı Kimsuky isimli casusluk grubunda çalıştığını iddia ediyorlar. Kimsuky, APT43 ve Thallium olarak da bilinen bir grup olarak tanımlanıyor. Hackerlar, çalınan verileri, kamu yararına sızdırılan veri setlerini saklayan kar amacı gütmeyen bir topluluk olan DDoSecrets’a sızdırdı.
Kimsuky, Kuzey Kore hükümetine bağlı olduğu düşünülen, etkin bir ileri kalıcı tehdit (APT) grubudur. Bu grup, Güney Kore’deki gazetecileri ve hükümet kurumlarını hedef almakla suçlanmaktadır.
Kimsuky, siber suç gruplarına benzer operasyonlar da yürütmektedir; örneğin, Kuzey Kore’nin nükleer silah programını finanse etmek için kripto para çalmak ve aklamak gibi eylemler içerisindedir.
Bu hack, Kimsuky’nin operasyonlarına dair nadir bir içgözlem sağlıyor. Çünkü bu iki hacker, genellikle siber güvenlik araştırmacılarının veri ihlali araştırmalarında başvurdukları yöntemlerden ziyade, grubun bir üyesini doğrudan ele geçirmiş durumdadır.
Hackerlar, “Kimsuky’nin, Çinli hükümet hackerlarıyla nasıl açık bir işbirliği yaptığını ve araçlarını paylaştığını gösteriyor” şeklinde yazdı.
Hackerlar, yaptıkları eylemin teknik olarak bir suç olduğunu kabul etseler de, Kuzey Kore’nin ağır yaptırımlara tabi olduğunu göz önünde bulundurarak, asla yargılanmayacaklarını düşünüyorlar. İkili, Kimsuky üyelerinin ifşa edilip utandırılmasını gerektiğini savunuyor.
Hackerlar, “Kimsuky, bir hacker değil. Mali açgözlülükle hareket ediyor ve liderlerini zenginleştirmek için çalışıyor. Başkalarının hakkını çalıp kendi çıkarlarını gözetiyor. Kendinizi başkalarından üstün görüyorsunuz: Ahlaki olarak sapkınsınız,” ifadelerini kullandı. “Yanlış nedenlerle hack yapıyorsunuz.”
Saber ve cyb0rg, Kimsuky’nin birçok Güney Koreli hükümet ağına ve şirkete sızdığını, e-posta adreslerini, Kimsuky grubunun kullandığı hack araçlarını, iç kılavuzları, şifreleri ve daha fazlasını bulduklarını iddia ediyor.
Hackerların araştırmalarında belirtilen hackerlara ait olduğu iddia edilen e-posta adreslerine gönderilen mailler ise yanıtsız kalmıştır.
Hackerlar, Kim’in bir Kuzey Koreli hükümet hackerı olduğunu “kanıtlar ve ipuçları” sayesinde belirlediklerini belirtiyor. Bu ipuçları arasında, daha önce Kimsuky hacking grubuna atfedilen dosya yapılandırmaları ve domainler bulunuyor.
Ayrıca, Kim’in “sıkı ofis saatleri” olduğunu ve her zaman Pyongyang saatiyle 09:00 civarında bağlandığını ve 17:00’de ayrıldığını kaydettiler.
