Οι προηγμένες επίμονες απειλές της Βόρειας Κορέας (APTs) κατασκοπεύουν αθόρυβα τους αμυντικούς εργολάβους της Νότιας Κορέας για τουλάχιστον ενάμιση χρόνο, διεισδύοντας σε περίπου 10 οργανισμούς.

Η αστυνομία της Νότιας Κορέας απελευθερώθηκε αυτή την εβδομάδα τα ευρήματα μιας έρευνας που αποκάλυψε ταυτόχρονες εκστρατείες κατασκοπείας που πραγματοποιήθηκαν από Ανταριέλ (γνωστός και ως Onyx Sleet, Silent Chollima, Plutonium), kimsuky (γνωστός και ως APT 43, Thallium, Velvet Chollima, Black Banshee), και το ευρύτερο Lazarus Group. Οι αρχές επιβολής του νόμου δεν κατονόμασαν τις οργανώσεις υπεράσπισης των θυμάτων ούτε παρείχαν λεπτομέρειες για τα κλεμμένα δεδομένα.

Η ανακοίνωση έρχεται μια μέρα μετά τη διεξαγωγή της από τη Βόρεια Κορέα πρώτη άσκηση προσομοίωσης πυρηνικής αντεπίθεσης.

Τα APT της ΛΔΚ επιμένουν

Λίγες χώρες είναι τόσο ενήμερες για τις απειλές στον κυβερνοχώρο από ξένα έθνη-κράτη όπως η Νότια Κορέα, και λίγες βιομηχανίες τόσο συνειδητοποιημένες όσο ο στρατός και η άμυνα. Κι όμως, η καλύτερη της Kim πάντα φαίνεται να βρίσκει έναν τρόπο.

«Οι απειλές APT, ιδιαίτερα εκείνες που οδηγούνται από παράγοντες σε κρατικό επίπεδο, είναι εμφανώς δύσκολο να αποτραπούν πλήρως», θρηνεί ο κ. Ngoc Bui, ειδικός στον τομέα της ασφάλειας στον κυβερνοχώρο στο Menlo Security. «Αν ένας APT ή ένας ηθοποιός έχει υψηλά κίνητρα, υπάρχουν λίγα εμπόδια που δεν μπορούν τελικά να ξεπεραστούν».

Τον Νοέμβριο του 2022, για παράδειγμα, ο Lazarus στόχευσε έναν εργολάβο που γνώριζε αρκετά τον κυβερνοχώρο ώστε να λειτουργεί ξεχωριστά εσωτερικά και εξωτερικά δίκτυα. Ωστόσο, οι χάκερ εκμεταλλεύτηκαν την αμέλειά τους στη διαχείριση του συστήματος που συνδέει τα δύο. Πρώτον, οι χάκερ παραβίασαν και μόλυναν έναν εξωτερικό διακομιστή δικτύου. Ενώ οι άμυνες ήταν κάτω για μια δοκιμή δικτύου, διέσχισαν το σύστημα σύνδεσης δικτύου και μέσα στο εσωτερικό. Στη συνέχεια άρχισαν να συλλέγουν και να εξάγουν «σημαντικά δεδομένα» από έξι υπολογιστές υπαλλήλων.

Σε μια άλλη υπόθεση που ξεκίνησε γύρω στον Οκτώβριο του 2022, ο Andariel έλαβε πληροφορίες σύνδεσης που ανήκαν σε υπάλληλο μιας εταιρείας που εκτελούσε απομακρυσμένη συντήρηση πληροφορικής για έναν από τους εν λόγω εργολάβους άμυνας. Χρησιμοποιώντας τον παραβιασμένο λογαριασμό, μόλυνε τους διακομιστές της εταιρείας με κακόβουλο λογισμικό και διείσδυσε δεδομένα που σχετίζονται με αμυντικές τεχνολογίες.

Η αστυνομία τόνισε επίσης ένα περιστατικό που διήρκεσε από τον Απρίλιο έως τον Ιούλιο του 2023, στο οποίο ο Kimsuky εκμεταλλεύτηκε τον διακομιστή email του groupware που χρησιμοποιούσε η συνεργαζόμενη εταιρεία μιας αμυντικής εταιρείας. Μια ευπάθεια επέτρεψε στους μη εξουσιοδοτημένους εισβολείς να κατεβάσουν μεγάλα αρχεία που είχαν σταλεί εσωτερικά μέσω email.

Εξουδετερώνοντας τον Λάζαρο

Χρήσιμο για τις αρχές, εξηγεί ο Bui, είναι ότι «Ομάδες της ΛΔΚ όπως η Lazarus επαναχρησιμοποιούν συχνά όχι μόνο το κακόβουλο λογισμικό τους αλλά και την υποδομή δικτύου τους, η οποία μπορεί να είναι τόσο ευπάθεια όσο και δύναμη στις δραστηριότητές τους. Οι αποτυχίες του OPSEC και η επαναχρησιμοποίηση της υποδομής, σε συνδυασμό με καινοτόμες τακτικές, όπως η διείσδυση σε εταιρείες, τα καθιστούν ιδιαίτερα ενδιαφέροντα για την παρακολούθηση».

Οι δράστες πίσω από καθεμία από τις παραβιάσεις της άμυνας εντοπίστηκαν χάρη στο κακόβουλο λογισμικό που ανέπτυξαν μετά τον συμβιβασμό - συμπεριλαμβανομένων των Trojans απομακρυσμένης πρόσβασης Nukesped και Tiger (RAT) - καθώς και της αρχιτεκτονικής και των διευθύνσεών τους IP. Συγκεκριμένα, ορισμένες από αυτές τις IP εντοπίστηκαν στο Shenyang της Κίνας και μια επίθεση το 2014 κατά της Korea Hydro & Nuclear Power Co.

«Οι απόπειρες hacking της Βόρειας Κορέας με στόχο την αμυντική τεχνολογία αναμένεται να συνεχιστούν», ανέφερε σε δήλωση η Εθνική Αστυνομική Υπηρεσία της Κορέας. Η υπηρεσία συνιστά στις αμυντικές εταιρείες και τους συνεργάτες τους να χρησιμοποιούν έλεγχο ταυτότητας δύο παραγόντων και να αλλάζουν περιοδικά τους κωδικούς πρόσβασης που σχετίζονται με τους λογαριασμούς τους, να αποκλείουν τα εσωτερικά από εξωτερικά δίκτυα και να αποκλείουν την πρόσβαση σε ευαίσθητους πόρους για μη εξουσιοδοτημένες και περιττές ξένες διευθύνσεις IP.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/cyberattacks-data-breaches/north-korea-apt-triumvirate-spied-on-south-korean-defense-industry-for-years