两名黑客声称入侵了一名朝鲜政府黑客的电脑,揭示了朝鲜臭名昭著的间谍组织 Kimsuky 的内部运作。这次入侵提供了一个罕见的窗口,展示了该组织如何与中国政府黑客合作,对韩国政府和公司发动攻击,并通过网络犯罪为其核武器计划提供资金。
一次罕见的内部窥探
两名自称 Saber 和 cyb0rg 的黑客成功入侵了一名朝鲜黑客的工作站,并将其发现公之于众。他们将报告发表在网络安全电子杂志《Phrack》上,并将窃取的数据泄露给了非营利组织 DDoSecrets。
这次行动之所以特别,是因为它直接侵入了 Kimsuky 组织成员的电脑,而不是像安全研究人员通常那样,在事后分析数据泄露事件。
起底 Kimsuky 组织
被入侵的黑客据信为朝鲜政府间谍组织 Kimsuky 工作。该组织以其双重任务而闻名:
- 国家间谍活动: 针对韩国的政府机构、公司、记者以及其他对朝鲜有情报价值的目标。
- 网络犯罪: 从事类似于犯罪集团的活动,例如 窃取和洗钱加密货币,为朝鲜的核武器计划提供资金。
核心发现与证据
这次入侵最重要的发现之一,是揭示了朝鲜与中国黑客之间的合作关系。
“它揭示了‘Kimsuky’ 与中国 [政府黑客] 的公开合作程度,以及他们共享工具和技术的情况。”
Saber 和 cyb0rg 声称发现了大量直接证据,包括:
- 多个已被 Kimsuky 入侵的韩国政府网络和公司 的详细信息。
- 该组织使用的 黑客工具、内部操作手册和密码。
- 大量电子邮件地址和其他敏感数据。
“上班族”黑客与揭露者的动机
有趣的是,被入侵的朝鲜黑客“Kim”有着非常严格的作息时间,总是在平壤时间早上 9 点左右上线,下午 5 点下线,这表明他的黑客活动是一份 有固定工时的“工作”。
揭露此事的黑客明确表示,他们的动机是揭露 Kimsuky 的真面目。
“Kimsuky,你不是黑客。你被贪婪驱使,为你的领导人敛财,并实现他们的政治议程。你窃取他人的东西,偏袒自己人……你出于完全错误的理由进行黑客攻击。”