Dois hackers independentes, conhecidos como Saber e cyb0rg, afirmam ter invadido o computador de um suposto agente do governo da Coreia do Norte, expondo informações raramente vistas sobre as operações cibernéticas do país.
A revelação foi publicada na mais recente edição da lendária revista digital de segurança cibernética Phrack, distribuída durante a conferência Def Con, em Las Vegas.
Segundo o relatório, a dupla conseguiu acessar uma estação de trabalho com uma máquina virtual e um servidor privado usados por um hacker que eles chamam de “Kim”. De acordo com Saber e cyb0rg, Kim faria parte do Kimsuky — também conhecido como APT43 ou Thallium — um grupo de espionagem ligado ao governo norte-coreano. Os dados obtidos foram repassados para a DDoSecrets, organização sem fins lucrativos que mantém e divulga vazamentos de interesse público.
O Kimsuky é famoso por realizar ataques direcionados contra jornalistas, agências governamentais e outros alvos estratégicos, principalmente na Coreia do Sul. Além disso, o grupo também atua como um coletivo de cibercriminosos, roubando e lavando criptomoedas para financiar o programa nuclear norte-coreano.
O diferencial dessa invasão é que, em vez de investigar apenas os rastros deixados pelo grupo, Saber e cyb0rg acessaram diretamente os dispositivos de um de seus membros. No texto, eles afirmam que a operação revelou colaboração aberta entre o Kimsuky e hackers ligados ao governo chinês, incluindo o compartilhamento de ferramentas e métodos.
Apesar de reconhecerem que o ato é ilegal, os hackers dizem acreditar que a exposição é justificável, com o objetivo de mostrar as verdadeiras motivações do Kimsuky:
“Vocês não são hackers movidos por ideais. São guiados pela ganância e interesses políticos. Roubam para enriquecer seus líderes e se beneficiam às custas dos outros.”
Entre os arquivos encontrados, estariam provas de invasões a redes governamentais sul-coreanas, manuais internos, senhas, endereços de e-mail e ferramentas de ataque. Os dois afirmam que identificaram Kim por meio de pistas técnicas, como configurações de arquivos e domínios já associados ao Kimsuky.
Outro detalhe curioso revelado: Kim teria uma rotina de trabalho bastante rígida, conectando-se sempre por volta das 9h e encerrando as atividades às 17h, no horário de Pyongyang.
