كانت التهديدات المستمرة المتقدمة الأولى في كوريا الشمالية (APTs) تتجسس بهدوء على مقاولي الدفاع الكوريين الجنوبيين لمدة عام ونصف على الأقل، وتتسلل إلى حوالي 10 منظمات.
أطلقت الشرطة الكورية الجنوبية هذا الأسبوع نتائج التحقيق التي كشفت عن حملات تجسس متزامنة قامت بها أندارييل (المعروف أيضًا باسم أونيكس سلييت، وسيلنت تشوليما، والبلوتونيوم)، Kimsuky (المعروفة أيضًا باسم APT 43، وThallium، وVelvet Chollima، وBlack Banshee)، ومجموعة Lazarus Group الأوسع. ولم تذكر سلطات إنفاذ القانون أسماء منظمات الدفاع عن الضحايا ولم تقدم تفاصيل عن البيانات المسروقة.
ويأتي هذا الإعلان بعد يوم واحد من قيام كوريا الشمالية بإجراءها أول مناورة على الإطلاق تحاكي هجومًا نوويًا مضادًا.
التهديدات المستمرة في كوريا الديمقراطية مستمرة
القليل من الدول على دراية بالتهديدات السيبرانية من الدول الأجنبية مثل كوريا الجنوبية، وعدد قليل من الصناعات على دراية بالتهديدات السيبرانية مثل الصناعات العسكرية والدفاعية. ومع ذلك، فإن كيم هو الأفضل يبدو دائمًا أنه يجد طريقة.
يقول السيد نجوك بوي، خبير الأمن السيبراني في شركة مينلو سيكيوريتي: "من الصعب للغاية ردع تهديدات التهديدات المستمرة المتقدمة، وخاصة تلك التي تحركها جهات فاعلة على مستوى الدولة، بشكل كامل". "إذا كان لدى APT أو الممثل دافع كبير، فهناك القليل من العوائق التي لا يمكن التغلب عليها في النهاية."
في تشرين الثاني (نوفمبر) 2022، على سبيل المثال، استهدفت شركة Lazarus مقاولًا كان لديه وعي إلكتروني كافٍ لتشغيل شبكات داخلية وخارجية منفصلة. إلا أن المتسللين استغلوا إهمالهم في إدارة النظام الذي يربط بين الاثنين. أولاً، قام المتسللون باختراق خادم شبكة خارجي وإصابته. بينما كانت الدفاعات معطلة لاختبار الشبكة، فقد حفرت نفقًا عبر نظام اتصال الشبكة إلى الأجزاء الداخلية. ثم بدأوا في جمع وتصفية "البيانات المهمة" من ستة أجهزة كمبيوتر خاصة بالموظفين.
وفي حالة أخرى بدأت في أكتوبر 2022 تقريبًا، حصل Andariel على معلومات تسجيل دخول تخص موظفًا في شركة قامت بإجراء صيانة تكنولوجيا المعلومات عن بعد لأحد مقاولي الدفاع المعنيين. وباستخدام الحساب المختطف، أصابت خوادم الشركة ببرامج ضارة وبيانات مسربة تتعلق بتقنيات الدفاع.
وسلطت الشرطة الضوء أيضًا على حادثة استمرت من أبريل إلى يوليو 2023، حيث استغل كيمسوكي خادم البريد الإلكتروني للبرامج الجماعية الذي تستخدمه شركة شريكة لشركة دفاع. سمحت الثغرة الأمنية للمهاجمين غير المصرح لهم بتنزيل الملفات الكبيرة التي تم إرسالها داخليًا عبر البريد الإلكتروني.
استنشاق لعازر
ويوضح بوي أن ما يفيد السلطات هو أن "مجموعات كوريا الشمالية مثل لازاروس لا تعيد استخدام برامجها الضارة فحسب، بل أيضًا البنية التحتية لشبكاتها، والتي يمكن أن تكون نقطة ضعف وقوة في عملياتها. إن إخفاقاتهم في عمليات OPSEC وإعادة استخدام البنية التحتية، جنبًا إلى جنب مع التكتيكات المبتكرة مثل الشركات المتسللة، تجعل مراقبتها مثيرة للاهتمام بشكل خاص.
تم التعرف على الجناة الذين يقفون وراء كل خروقات دفاعية بفضل البرامج الضارة التي نشروها بعد الاختراق - بما في ذلك أحصنة طروادة للوصول عن بُعد (RATs) لـ Nukesped وTiger - بالإضافة إلى بنيتهم وعناوين IP الخاصة بهم. ومن الجدير بالذكر أن بعض عناوين IP هذه يمكن تتبعها إلى شنيانغ، الصين، وهجوم عام 2014 ضد شركة كوريا للطاقة المائية والنووية.
وقالت وكالة الشرطة الوطنية الكورية في بيان: "من المتوقع أن تستمر محاولات القرصنة التي تقوم بها كوريا الشمالية لاستهداف تكنولوجيا الدفاع". توصي الوكالة شركات الدفاع وشركائها باستخدام المصادقة الثنائية وتغيير كلمات المرور المرتبطة بحساباتهم بشكل دوري، وتطويق الشبكات الداخلية من الشبكات الخارجية، ومنع الوصول إلى الموارد الحساسة لعناوين IP الأجنبية غير المصرح بها وغير الضرورية.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cyberattacks-data-breaches/north-korea-apt-triumvirate-spied-on-south-korean-defense-industry-for-years
