ハッカーが北朝鮮政府のハッカーのコンピューターに侵入し、その内容をオンラインで公開したと発表しました。これにより、秘密主義で知られる北朝鮮のハッキング活動の一端が明らかになったということです。
このハッキングは、Saberとcyb0rgという名前で活動する2人のハッカーによるもので、彼らはこの侵入についての報告を1985年に創刊された伝説的なサイバーセキュリティの電子雑誌「Phrack」の最新号で発表しました。この最新号は、先週ラスベガスで開催されたハッカー会議「Def Con」で配布されました。
記事によると、2人のハッカーは「Kim」と呼ばれる北朝鮮政府のスパイグループ「Kimsuky」(APT43やThalliumとしても知られる)のメンバーのワークステーションを侵入し、仮想マシンと仮想プライベートサーバーを含むデータを取得しました。ハッカーたちは、盗まれたデータを公共の利益のために漏洩データを保存する非営利団体「DDoSecrets」に提供したとしています。
Kimsukyは、北朝鮮政府内で活動していると広く信じられている高度な持続的脅威(APT)グループで、韓国やその他の国のジャーナリストや政府機関を標的にしているとされています。また、北朝鮮の情報機関にとって興味のある他の標的も攻撃しているということです。
通常、北朝鮮のように、Kimsukyもサイバー犯罪グループに似た活動を行っており、たとえば、暗号通貨を盗んで洗浄し、北朝鮮の核兵器プログラムを資金援助することがあるとしています。
このハッキングは、Kimsukyのメンバーの一人を侵入したことで、グループの活動の内部をほぼ前例のない形で明らかにしたということです。通常、サイバーセキュリティの研究者や企業はデータ漏洩を調査する必要がありますが、今回のケースは異なります。
「Kimsukyが中国政府のハッカーとどのようにオープンに協力し、ツールや技術を共有しているかが垣間見える」と2人のハッカーは述べています。
Saberとcyb0rgの行為は技術的には犯罪ですが、北朝鮮が厳しい制裁を受けているため、起訴される可能性は低いと見られています。2人のハッカーは、Kimsukyのメンバーが暴露され、恥をかくべきだと考えているようです。
「Kimsuky、お前たちはハッカーではない。お前たちは金銭的な欲望に駆られ、リーダーを裕福にし、彼らの政治的な目的を果たすために動いている。他人から盗み、自分たちを優先する。お前たちは道徳的に堕落している」と2人は「Phrack」で書いています。「お前たちは間違った理由でハッキングを行っている。」
Saberとcyb0rgは、Kimsukyが韓国政府のネットワークや企業、メールアドレス、ハッキングツール、内部マニュアル、パスワードなどを侵害した証拠を見つけたと主張しています。
研究で挙げられたハッカーに属するとされるメールアドレスに送信されたメールは、返答がなかったということです。
ハッカーたちは、「Kim」を北朝鮮政府のハッカーであると特定できたのは、「Kimsuky」とされる北朝鮮のハッキンググループに以前に帰属されたファイルの構成やドメインなどの「手がかりと証拠」があったためだと述べています。
また、「Kim」の「厳格な勤務時間、毎日09:00頃に接続し、17:00までに切断する」という習慣も指摘しています。