در اوایل سال جاری، دو هکر به یک رایانه نفوذ کردند و خیلی زود متوجه اهمیت آن شدند. همانطور که مشخص شد، آنها به رایانهای دست یافته بودند که متعلق به هکری بود که گفته میشود برای دولت کره شمالی کار میکند.
این دو هکر تصمیم گرفتند تحقیقات بیشتری انجام دهند و به شواهدی دست یافتند که به گفتهی آنها، این هکر را به عملیات جاسوسی سایبری کره شمالی، ابزارهای نفوذ و زیرساختهای مورد استفاده در این عملیاتها مرتبط میکرد.
یکی از این هکرها به نام «Saber» به وبسایت TechCrunch گفت که آنها حدود چهار ماه به رایانهی کارمند دولتی کره شمالی دسترسی داشتند، اما به محض اینکه متوجه شدند چه دادههایی در اختیار دارند، دریافتند که باید آنها را افشا کنند.
Saber گفت: «این هکرهای دولتی برای دلایل اشتباه دست به نفوذ میزنند. امیدوارم افراد بیشتری از آنها افشا شوند؛ حقشان است.»
او و cyb0rg مقالهای را در مجلهی افسانهای هک Phrack منتشر کردند و جزئیات یافتههای خود را فاش کردند.
شرکتها و پژوهشگران امنیت سایبری بسیاری هستند که فعالیتهای دولت کره شمالی و گروههای هکری وابسته به آن را به دقت زیر نظر دارند؛ از جمله عملیاتهای جاسوسی، سرقتهای بزرگ رمزارز و فعالیتهایی که در آنها کرهایها خود را به عنوان کارکنان دورکار IT جا میزنند تا برنامه تسلیحات هستهای رژیم را تأمین مالی کنند.
در این مورد، Saber و cyb0rg پا را فراتر گذاشتند و خودِ هکرها را هک کردند—عملیاتی که میتواند بینشهای تازه یا متفاوتی دربارهی نحوهی عملکرد این گروههای دولتی و فعالیتهای روزمرهشان ارائه دهد.
این دو هکر ترجیح میدهند فقط با نامهای مستعارشان شناخته شوند، چون ممکن است با واکنش تلافیجویانهی دولت کره شمالی یا دیگران مواجه شوند. Saber گفت که آنها خود را «هکتیویست» میدانند و از هکتیویست افسانهای «Phineas Fisher»—که شرکتهای جاسوسافزار FinFisher و Hacking Team را هک کرده بود—به عنوان الهامبخش نام برد.
در عین حال، این هکرها میدانند که کاری که انجام دادهاند غیرقانونی است، اما معتقد بودند افشای آن اهمیت بیشتری دارد.
Saber گفت: «نگهداشتن این اطلاعات برای خودمان واقعاً مفید نبود. با افشای عمومی آن، امیدواریم بتوانیم راههای بیشتری برای شناسایی آنها در اختیار پژوهشگران قرار دهیم.»
او افزود: «امیدوارم این کار باعث شود قربانیان فعلی آنها شناسایی شوند و در نتیجه [هکرهای کره شمالی] دسترسیشان را از دست بدهند.»
cyb0rg نیز در پیامی که از طریق Saber ارسال شد، گفت: «قانونی باشد یا نه، این اقدام مصنوعات ملموسی را به جامعه ارائه داده؛ و این مهمتر است.»
Saber اظهار داشت که بر اساس یافتههایشان، اگرچه هکری که او را «Kim» مینامند برای رژیم کره شمالی کار میکند، اما ممکن است در واقع چینی باشد و برای هر دو دولت فعالیت کند. یکی از نشانهها این بود که Kim در تعطیلات رسمی چین کار نمیکرد، که احتمالاً نشان میدهد او در چین مستقر است.
همچنین، به گفتهی صابر، Kim گاهی برخی اسناد کرهای را با استفاده از Google Translate به زبان چینی ساده ترجمه میکرد.
Saber گفت که هرگز تلاش نکرد با Kim تماس بگیرد: «فکر نمیکنم حتی گوش بدهد؛ تمام کاری که میکند تقویت رهبرانی است که مردم خودش را به بردگی گرفتهاند. شاید به او میگفتم از دانشش برای کمک به مردم استفاده کند، نه آسیب رساندن. اما او در فضای تبلیغاتی دائمی زندگی میکند، احتمالاً از بدو تولد، بنابراین این حرفها برایش بیمعناست.» او به خلأ اطلاعاتی شدیدی اشاره دارد که مردم کره شمالی در آن زندگی میکنند، چرا که تقریباً از جهان خارج جدا شدهاند.
Saber از افشای نحوهی دسترسی خود و cyb0rg به رایانهی Kim خودداری کرد، زیرا معتقدند میتوانند با همان روشها به سیستمهای دیگر نیز نفوذ کنند.
در جریان عملیاتشان، Saber و cyb0rg شواهدی از حملات فعال Kim علیه شرکتهایی در کره جنوبی و تایوان یافتند که به گفتهی آنها، با این شرکتها تماس گرفته و هشدار دادهاند.
هکرهای کره شمالی سابقهی هدف قرار دادن افراد فعال در صنعت امنیت سایبری را نیز دارند. به همین دلیل Saber گفت که از این خطر آگاه است، اما «واقعاً نگران نیست.»
او افزود: «کار زیادی نمیتوان کرد، فقط باید محتاطتر بود :)»
