Tendências do dia

Vazamento revela como hackers norte-coreanos roubavam credenciais do governo da Coreia do Sul

Coreia do Norte, por meio do grupo Kimsuky, demonstrou ser capaz de se infiltrar nos sistemas mais sensíveis de seus vizinhos (incluindo Taiwan)

Imagem | Marcos Merino usando IA
Sem comentários Facebook Twitter Flipboard E-mail
pedro-mota

PH Mota

Redator
pedro-mota

PH Mota

Redator

Jornalista há 15 anos, teve uma infância analógica cada vez mais conquistada pelos charmes das novas tecnologias. Do videocassete ao streaming, do Windows 3.1 aos celulares cada vez menores.

927 publicaciones de PH Mota

Em fevereiro passado, um vazamento apelidado de "Kim dump" abalou a comunidade internacional de segurança cibernética. Tratava-se de um pacote de arquivos roubado de um operador ligado ao Kimsuky (APT43), um dos grupos hackers mais ativos e sofisticados associados à Coreia do Norte.

O que veio à tona foi algo incomum: não apenas amostras de malware, mas todo o ambiente de trabalho do invasor, com históricos de comandos, rascunhos de ferramentas, registros de acesso, documentos técnicos e até capturas de tela do computador.

No entanto, naquela época, o material era um lixo bruto: milhares de arquivos desorganizados, em vários idiomas, com material muito diverso.

Agora, analistas de segurança cibernética concluíram a análise do material e começaram a publicar relatórios mais abrangentes, que oferecem uma visão sem precedentes do cotidiano de um espião digital norte-coreano e revelam como ataques em larga escala contra governos e empresas na Coreia do Sul e em Taiwan são projetados, testados e implantados... com a possível sombra de apoio logístico chinês.

Laboratório clandestino exposto

Entre os arquivos vazados, apareceram históricos de console nos quais o operador compilava manualmente código malicioso em baixo nível (assembler), o testava e o apagava para ocultar rastros. Havia registros de OCR (reconhecimento óptico de caracteres) sendo usado para analisar documentos em coreano em infraestruturas críticas, como a Infraestrutura de Chaves Públicas (GPKI), que gerencia a identidade digital de milhões de cidadãos sul-coreanos.

Também foram encontrados:

  • Chaves digitais roubadas de servidores governamentais, com senhas em texto simples;
  • Rootkits Linux capazes de se esconder no kernel do sistema e passar despercebidos até mesmo por ferramentas de segurança;
  • Uma rede de páginas falsas que imitavam portais oficiais (como mofa.go.kr, do Ministério das Relações Exteriores da Coreia do Sul) para roubar credenciais em tempo real.

Em resumo, o material mostra uma operação que vai muito além do phishing clássico: combina espionagem técnica, roubo de identidade digital e controle secreto de servidores críticos.

Ouro digital: credenciais e certificados

O fio condutor de toda a operação é a obsessão por credenciais. Para o invasor, uma senha ou um certificado digital não é apenas acesso: é a chave mestra para se movimentar sem ser detectado. Os registros vazados mostram como o operador obteve acesso a contas de administrador (com nomes como "oracle" ou "svradmin"), alterou senhas e anotou cada sucesso com a palavra coreana "변경완료" (alteração concluída).

Em outros casos, o saque foram arquivos ".key" pertencentes à infraestrutura de certificados do governo sul-coreano, que permitiriam a falsificação de identidades oficiais e a falsificação de comunicações.

O que a China está fazendo nesse meio tempo?

A análise do "vazamento de Kim" confirma que a Coreia do Sul é o alvo prioritário, tanto em seus sistemas de identidade digital quanto em suas redes governamentais e em suas comunicações diplomáticas. No entanto, a atenção aos detalhes em relação a Taiwan, onde o operador tentou explorar repositórios de pesquisa aeronáutica e portais de autenticação na nuvem, é surpreendente.

É aqui que entra a dúvida de atribuição. Alguns indícios, como a linguagem e o conhecimento do GPKI, apontam claramente para um ator norte-coreano...

... mas outros elementos – uso de plataformas chinesas como Baidu ou Gitee, conexões a partir de IPs de telecomunicações chineses, histórico de navegação em mandarim simplificado – sugerem que o invasor operou em solo chinês ou com seu apoio tácito. Nada que nos surpreenda, dadas as recentes demonstrações públicas de afeto intergovernamental sino-norte-coreano.

O aspecto mais curioso do vazamento é seu aspecto "cultural": memes, manuais técnicos e até anúncios de celulares Huawei em chinês simplificado foram encontrados nos históricos de navegação. Tudo isso reforça a hipótese de que a operadora mantinha uma "identidade digital" integrada à vida online da China, tanto para se "camuflar" quanto para interagir com potenciais vítimas naquele ecossistema.

Por que esse vazamento é importante?

O que torna o vazamento de Kim único é que ele demonstra como a Coreia do Norte se concentra no roubo de credenciais como alavanca para operações de longo prazo. As implicações são sérias:

  • A Coreia do Sul e Taiwan devem fortalecer a proteção de seus sistemas de identidade digital, certificados e acesso administrativo.
  • O caso confirma a tendência de operações conjuntas entre a Coreia do Norte e a China, complicando a atribuição e a resposta internacional.
  • Para a comunidade global, esse vazamento é um lembrete de que o elo mais fraco nem sempre é o usuário final, mas sim as próprias infraestruturas de confiança digital que o sustentam governos e empresas.

Via | DomainTools

Imagem | Marcos Merino usando IA


Assuntos

Ver 0 Comentários

Voltar ao topo

Edições internacionais

Informações

Inicio