Los piratas informáticos afirman haber violado las computadoras de los piratas informáticos del gobierno de Corea del Norte y filtrado sus planes de espionaje en línea, proporcionando una rara ventana a las operaciones de piratería en un país conocido por su secretismo. Los dos hackers, llamados Sabre y cyb0rg, publicaron un informe sobre el ataque de hacking en el último número de la revista Phrack. Phrack Magazine es una revista electrónica legendaria sobre ciberseguridad fundada en 1985.
El último número se distribuyó la semana pasada en la conferencia de hackers Def Con en Las Vegas.
En el artículo, los dos piratas informáticos escribieron que habían comprometido con éxito una estación de trabajo que contenía máquinas virtuales y un servidor privado virtual propiedad de una persona a la que llamaban "Kim". Los piratas informáticos afirmaron que Kim trabajaba para el grupo de espionaje del gobierno norcoreano Kimsuky, también conocido como APT43 y Thallium. Los piratas informáticos filtraron los datos robados a DDoSecrets, una organización sin fines de lucro que almacena conjuntos de datos filtrados para el interés público.
Kimsuky es un grupo activo de amenaza persistente avanzada (APT, por sus siglas en inglés) que, según se cree, opera dentro del gobierno de Corea del Norte, y tiene como objetivo a periodistas y agencias gubernamentales en Corea del Sur y otros lugares, así como otros objetivos que pueden ser de interés para los servicios de inteligencia de Corea del Norte.
Como es habitual en Corea del Norte, Kim también llevó a cabo operaciones más parecidas a las de un grupo cibercriminal, como el robo y lavado de criptomonedas para financiar el programa de armas nucleares de Corea del Norte.
El ataque nos brindó una visión sin precedentes del funcionamiento de Kimsuky, ya que dos piratas informáticos atacaron a un miembro del grupo en lugar de investigar violaciones de datos como suelen confiar los investigadores y las empresas de ciberseguridad.
"Esto también nos permite ver cómo 'Kim' está trabajando abiertamente con (hackers gubernamentales) chinos y compartiendo sus herramientas y técnicas", escribieron los hackers.
Ilustración del dictador norcoreano Kim Jong Un, incluida en el artículo de phrack. Fuente de la imagen: Sabre y cyb0rg/Phrack
Claramente, lo que hicieron Sabre y cyb0rg técnicamente constituye un delito, aunque dadas las sanciones a las que está sujeta Corea del Norte, probablemente nunca serán procesados por ello. Los dos hackers claramente creían que los miembros de Kimsuky deberían ser expuestos y humillados.
"Kimsuky, no eres un hacker. Estás impulsado por la codicia por el dinero y no quieres nada más que enriquecer a tus líderes y lograr su agenda política. Robas a los demás mientras te favoreces a ti mismo. Tienes una alta opinión de ti mismo: estás moralmente en bancarrota", escribieron ambos en Phrack. "Estás pirateando por las razones equivocadas".
Sabre y cyb0rg afirmaron haber descubierto evidencia de que Kimsuky pirateó múltiples redes y empresas gubernamentales en Corea del Sur, así como direcciones de correo electrónico y herramientas de piratería utilizadas por la organización Kimsuky, manuales internos, contraseñas y otros datos.
Un correo electrónico enviado a una dirección que figura en la investigación y que supuestamente pertenece al hacker quedó sin respuesta.
Los piratas informáticos escribieron que pudieron identificar a Kim como un pirata informático del gobierno de Corea del Norte gracias a "evidencias y consejos" que apuntaban en esa dirección, incluidas configuraciones de archivos y nombres de dominio previamente atribuidos al grupo de piratería norcoreano Kimsuky.
Los piratas informáticos también notaron que Kim Jong Un "mantiene un horario de oficina estricto, siempre se conecta alrededor de las 9 a. m. y se desconecta a las 5 p. m., hora de Pyongyang".