Kimuky olarak bilinen Kuzey Koreli devlet destekli hackerların, kendilerini Kimuky’nin değerlerinin tam tersi olarak tanımlayan, grubun verilerini çalan ve kamuya açık çevrimiçi sızdıran iki bilgisayar korsanından sonra bir veri ihlali yaşadığı bildirildi.
‘Sabre’ ve ‘Cyb0RG’ adlı iki bilgisayar korsanı, eylemlerinin etik nedenlerini belirtti ve Kimuky’nin “tüm yanlış nedenlerden dolayı hacklendiğini”, siyasi gündemler tarafından yönlendirildiklerini ve bağımsız olarak hackleme sanatını uygulamak yerine rejim emirlerini takip ettiklerini iddia etti.
“Kimuky, bir hacker değilsiniz. Finansal açgözlülükten kaynaklanıyorsunuz, liderlerinizi zenginleştirmek ve siyasi gündemlerini yerine getirmek için,” Hacker’ların DEF Con 33 konferansında dağıtılan Phrack’ın son sayısında yayınlanan Kimuky adresini okuyor.
“Başkalarından çalıyorsunuz ve kendinize destek veriyorsunuz. Kendinize diğerlerinin üstünde değer veriyorsunuz: Ahlaki olarak sapkınsınız.”
Bilgisayar korsanları, Kimuky’nin arka ucunun bir kısmını atarak hem araçlarını hem de bilinmeyen kampanyalara ve belgesiz uzlaşmalara ilişkin içgörü sağlayabilecek çalınan verilerini ortaya çıkardı.
Şu anda ‘Sırların Dağıtılmış Reddi’ ‘web sitesinde barındırılan 8.9GB döküm, diğerlerinin yanı sıra:
- Birden fazla dcc.mil.kr (Savunma Karşı İstihbarat Komutu) e -posta hesaplarıyla kimlik avı günlükleri.
- Diğer hedeflenen alanlar: spo.go.kr, korea.kr, daum.net, kakao.com, naver.com.
- .7Z Arşivi, WebMail, Yönetici ve Arşiv Modülleri dahil olmak üzere Güney Kore Dışişleri Bakanlığı E -posta Platformunun (“Kebi”) tam kaynak kodunu içeren arşiv.
- Güney Kore vatandaşı sertifikalarına ve küratörlü üniversite profesörlerine referanslar.
- PHP “jeneratör” araç seti tespit kaçakçılığı ve yeniden yönlendirme hileleri ile kimlik avı siteleri.
- Canlı kimlik avı kitleri.
- Bilinmeyen ikili arşivler (vos9aymz.tar.gz, black.x64.tar.gz) ve yürütülebilir ürünler (basılı.bin, basılı_test.bin, s.x64.bin) virustotal içinde işaretlenmez.
- VMware sürükle ve bırak önbelleğinde bulunan kobalt grev yükleyicileri, ters kabuklar ve onnara proxy modülleri.
- Şüpheli GitHub hesaplarına (WWH1004.github.io, vb.) Bağlantı Chrome geçmişi ve yapılandırmalar, Google Pay üzerinden VPN Satın Alımları (PureVPN, ZoogvPN) ve hack forumlarının sık kullanımı (Freebuf.com, Xaker.ru).
- Google, Çin hata mesajları ve Tayvan hükümetine ve askeri sitelerine yapılan ziyaretler için kullanımı çevirin.
- Dahili sistemlere SSH bağlantıları ile bash geçmişi.
Bilgisayar korsanları, yukarıdakilerin bazılarının en azından kısmen bilinen veya daha önce belgelenmiş olduğunu belirtiyor.
Bununla birlikte, döküm verilere yeni bir boyut verir ve Kimuky’nin araçları ve faaliyetleri arasında birbirine bağlantı sağlar, APT’nin altyapısını ve yöntemlerini ortaya çıkarır ve etkin bir şekilde “yakar”.
BleepingComputer, sızdırılan belgelerin ve değerinin doğruluğunu doğrulamak için çeşitli güvenlik araştırmacılarıyla temasa geçti ve bir yanıt alırsak hikayeyi güncelleyecektir.
İhlalin muhtemelen Kimuky’nin operasyonları üzerinde uzun vadeli bir etkisi olmasa da, Kimuky için operasyonel zorluklara ve devam eden kampanyalara kesintilere yol açabilir.
Phrack’ın (#72) son sayısı şu anda yalnızca sınırlı bir fiziksel kopyada mevcuttur, ancak çevrimiçi sürüm, buradan sonraki günlerde insanların ücretsiz okumaya hazır olmalıdır.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.