Na początku 2025 roku dwóch niezidentyfikowanych haktywistów – działających pod pseudonimami Saber oraz cyb0rg – przypadkowo zyskało dostęp do komputera hakera znanego jako Kim, prawdopodobnie powiązanego z północnokoreańską grupą APT Kimsuky. Przez około cztery miesiące dokładnie śledzili jego działania i analizowali zgromadzone dane, chcąc zidentyfikować jego metody, motywacje i powiązania.

Cel działań: społeczność i bezpieczeństwo

Po tym okresie – w 72. wydaniu ezina Phrack – opublikowali raport zawierający artefakty: narzędzia, backdoory i inne dane pozwalające społeczności badaczy na wczesną detekcję i neutralizację ataków. Nie ujawnili jednak sposobu wejścia w posiadanie komputera Kima, tłumacząc, iż mogłoby to umożliwić ponowne wykorzystanie metody przeciw innym członkom APT.

Nielegalne, ale cel szczytny

Chociaż ich działania miały charakter nielegalny i mogły skutkować poważnymi konsekwencjami, Saber i cyb0rg zdecydowali się je ujawnić – dla dobra ogółu i podniesienia świadomości wśród społeczności bezpieczeństwa.

Raport dla wszystkich – jak to tłumaczyli

W opublikowanym raporcie nie brakowało kontrowersji: zamiast przekazać informacje służbom, zdecydowali się na otwartą publikację. Uzasadnili to słowami:

„Keeping it for us wouldn’t have been really helpful… By leaking it all to the public, hopefully we can give researchers some more ways to detect them.”

Chcieli również pokazać, iż choćby hakerzy należący do grup APT mogą popełniać błędy i wpaść w ręce innych cyberprzestępców.

Co zawierał raport? Narzędzia i potencjalni celownicy

Wśród ujawnionych artefaktów znalazły się m.in.:

• generatory fałszywych stron phishingowych,

• Tomcat Remote Kernel Backdoor,

• prywatne narzędzie Cobalt Strike Beacon,

• Android Toybox,

• Ivanti Control (RootRot),

• Bushfire,

• Spawn Chimera i The Hankyoreh.

Opisano także cele ataków: infrastrukturę wywiadowczą Korei Południowej – Biuro Kontrwywiadu Obronnego, Ministerstwo Spraw Zagranicznych, instytucje rządowe i militarne – a także infiltrację firm technologicznych z Korei Południowej i Tajwanu. Znacząca część działań miała służyć kradzieży kryptowalut, co wpisywało się w finansowanie północnokoreańskiego programu nuklearnego.

Kim – a może Chińczyk…?

Choć aktywności wskazywały na Kima jako członka APT43 (Kimsuky) – m.in. systemowe ustawienia, stosowane narzędzia czy godziny pracy – pojawiły się również sygnały sugerujące dalsze powiązania: tłumaczenie dokumentów z koreańskiego na uproszczony chiński czy atak na Tajwan. Może to wskazywać na związki z chińskimi grupami APT.

Historia ta stanowi wyjątkowy przykład haktywistyki w służbie cyberbezpieczeństwa. Przez cztery miesiące dwóch haktywistów śledziło hakera powiązanego z północnokoreańskim reżimem, analizując narzędzia i cele. Choć ich działania były nielegalne, publikacja wywołała debatę na temat moralnych i etycznych granic w walce z cyfrowymi zagrożeniami i udostępniła bezcenne zasoby dla obrony przed atakami APT.

Źródło: sekurak.pl

Wyszukując oferty, stawiam na te najbardziej opłacalne. Wybierając poniższe usługi, wspierasz blog.

Wirtualne numery SIM – z tym numerem założysz konto i zdobędziesz zniżki za pierwsze zamówienie na UberEats czy pyszne.[l