Nordkoreas führende Advanced Persistent Threats (APTs) spionieren seit mindestens anderthalb Jahren stillschweigend südkoreanische Verteidigungsunternehmen aus und infiltrieren etwa zehn Organisationen.
Die südkoreanische Polizei wurde diese Woche freigelassen die Ergebnisse einer Untersuchung das gleichzeitige Spionagekampagnen aufdeckte, die von durchgeführt wurden Andariel (auch bekannt als Onyx Sleet, Silent Chollima, Plutonium), Kimsuky (auch bekannt als APT 43, Thallium, Velvet Chollima, Black Banshee) und die breitere Lazarus-Gruppe. Die Strafverfolgungsbehörden nannten weder die Opferschutzorganisationen noch machten sie Angaben zu den gestohlenen Daten.
Die Ankündigung erfolgt einen Tag, nachdem Nordkorea seine Aktion durchgeführt hat erste Übung überhaupt, die einen nuklearen Gegenangriff simuliert.
Es bestehen weiterhin APTs in der DVRK
Nur wenige Länder sind sich der Cyberbedrohungen durch ausländische Nationalstaaten so bewusst wie Südkorea, und nur wenige Branchen sind sich so bewusst wie Militär und Verteidigung. Und doch ist Kim das Beste Scheint immer einen Weg zu finden.
„APT-Bedrohungen, insbesondere solche, die von Akteuren auf staatlicher Ebene ausgehen, sind bekanntermaßen schwer vollständig abzuwehren“, beklagt Herr Ngoc Bui, Cybersicherheitsexperte bei Menlo Security. „Wenn ein APT oder Schauspieler hochmotiviert ist, gibt es nur wenige Hindernisse, die nicht irgendwann überwunden werden können.“
Im November 2022 beispielsweise nahm Lazarus einen Auftragnehmer ins Visier, der Cyber-bewusst genug war, um separate interne und externe Netzwerke zu betreiben. Die Hacker nutzten jedoch ihre Nachlässigkeit bei der Verwaltung des Systems aus, das die beiden verbindet. Zunächst drangen die Hacker in einen externen Netzwerkserver ein und infizierten ihn. Während die Verteidigung für einen Netzwerktest außer Betrieb war, drangen sie durch das Netzwerkverbindungssystem und in die Innereien vor. Anschließend begannen sie, „wichtige Daten“ von sechs Mitarbeitercomputern zu sammeln und zu exfiltrieren.
In einem anderen Fall, der etwa im Oktober 2022 begann, erlangte Andariel Zugangsdaten eines Mitarbeiters eines Unternehmens, das für einen der betreffenden Rüstungskonzerne IT-Fernwartungen durchführte. Mithilfe des gekaperten Kontos infizierte es die Server des Unternehmens mit Malware und exfiltrierte Daten im Zusammenhang mit Verteidigungstechnologien.
Die Polizei wies auch auf einen Vorfall hin, der von April bis Juli 2023 andauerte und bei dem Kimsuky den Groupware-E-Mail-Server des Partnerunternehmens eines Verteidigungsunternehmens ausnutzte. Eine Sicherheitslücke ermöglichte es den nicht autorisierten Angreifern, große Dateien herunterzuladen, die intern per E-Mail versendet wurden.
Lazarus auslöschen
Für die Behörden ist es von Nutzen, erklärt Bui, dass „DVRK-Gruppen wie Lazarus häufig nicht nur ihre Malware, sondern auch ihre Netzwerkinfrastruktur wiederverwenden, was sowohl eine Schwachstelle als auch eine Stärke in ihren Operationen darstellen kann.“ Ihre OPSEC-Ausfälle und die Wiederverwendung der Infrastruktur, kombiniert mit innovativen Taktiken wie der Infiltration von Unternehmen, machen ihre Überwachung besonders interessant.“
Die Täter hinter den einzelnen Verteidigungsverletzungen wurden anhand der Malware identifiziert, die sie nach der Kompromittierung eingesetzt hatten – einschließlich der Nukesped- und Tiger-Remote-Access-Trojaner (RATs) – sowie ihrer Architektur und IP-Adressen. Bemerkenswert ist, dass einige dieser geistigen Eigentumsrechte auf Shenyang, China, und einen Angriff auf die Korea Hydro & Nuclear Power Co. im Jahr 2014 zurückzuführen sind.
„Nordkoreas Hackerangriffe auf Verteidigungstechnologie werden voraussichtlich weitergehen“, hieß es in einer Erklärung der koreanischen Nationalpolizei. Die Agentur empfiehlt Verteidigungsunternehmen und ihren Partnern, die Zwei-Faktor-Authentifizierung zu verwenden und die mit ihren Konten verknüpften Passwörter regelmäßig zu ändern, interne von externen Netzwerken abzugrenzen und den Zugriff auf sensible Ressourcen für nicht autorisierte und unnötige ausländische IP-Adressen zu blockieren.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/cyberattacks-data-breaches/north-korea-apt-triumvirate-spied-on-south-korean-defense-industry-for-years
