Põhja-Korea esilinastus arenenud püsivad ohud (APT) on juba vähemalt poolteist aastat vaikselt Lõuna-Korea kaitsetöövõtjate järele luuranud, imbudes umbes 10 organisatsiooni.
Lõuna-Korea politsei vabastas sel nädalal uurimise tulemused mis paljastas samaaegsed spionaažikampaaniad, mille viis läbi andariel (teise nimega Onyx Sleet, Silent Chollima, Plutoonium), Kimsuky (teise nimega APT 43, Tallium, Velvet Chollima, Black Banshee) ja laiem Lazarus Group. Õiguskaitseorganid ei nimetanud ohvrite kaitseorganisatsioone ega avaldanud varastatud andmete üksikasju.
Teade tuli üks päev pärast seda, kui Põhja-Korea viis läbi esimene tuumavasturünnakut simuleeriv õppus.
KRDV APT-d püsivad
Vähesed riigid on nii teadlikud välisriikide rahvusriikide küberohtudest kui Lõuna-Korea ja vähesed tööstusharud, mis on nii teadlikud sõjandusest ja kaitsest. Ja veel, Kim on parim tundub alati leidvat tee.
"APT-ohte, eriti neid, mida juhivad osariigi tasandi osalejad, on kurikuulsalt raske täielikult ära hoida," kurdab Menlo Security küberturvalisuse ekspert hr Ngoc Bui. "Kui APT või näitleja on väga motiveeritud, on vähe takistusi, mida ei saa lõpuks ületada."
Näiteks 2022. aasta novembris võttis Lazarus sihikule töövõtja, kes oli piisavalt küberteadlik, et kasutada eraldi sise- ja välisvõrke. Häkkerid kasutasid aga ära nende hooletust neid kahte ühendava süsteemi haldamisel. Esiteks rikkusid häkkerid ja nakatasid välise võrguserveri. Sel ajal, kui kaitsemehhanismid olid võrgu testimiseks maas, läksid nad läbi võrguühendussüsteemi ja sisenesid sisemusse. Seejärel hakkasid nad kuuest töötaja arvutist "olulisi andmeid" koguma ja välja filtreerima.
Ühes teises juhtumis, mis algas 2022. aasta oktoobri paiku, sai Andariel sisselogimisandmed, mis kuulusid ühele kõnealusele kaitsetöövõtjale IT kaughooldust teostanud ettevõtte töötajale. Kasutades kaaperdatud kontot, nakatas see ettevõtte servereid pahavara ja kaitsetehnoloogiatega seotud andmete väljafiltreerimisega.
Politsei tõi esile ka 2023. aasta aprillist juulini kestnud intsidendi, kus Kimsuky kasutas ära ühe kaitsefirma partnerettevõtte grupitöö meiliserverit. Haavatavus võimaldas volitamata ründajatel alla laadida suuri faile, mis saadeti sisemiselt meili teel.
Lazaruse nuusutamine
Bui selgitab ametiasutustele, et „KRDV rühmad, nagu Lazarus, kasutavad sageli mitte ainult oma pahavara, vaid ka võrguinfrastruktuuri, mis võib olla nii haavatav kui ka tugevus nende tegevuses. Nende OPSEC-i tõrked ja infrastruktuuri taaskasutamine koos uuenduslike taktikatega, nagu ettevõtetesse imbumine, muudavad need jälgimise eriti intrigeerivaks.
Kõigi kaitsealaste rikkumiste taga olevad toimepanijad tuvastati tänu nende poolt pärast kompromiteerimist juurutatud pahavarale – sealhulgas Nukespedi ja Tigeri kaugjuurdepääsu troojalastele (RAT) –, samuti nende arhitektuurile ja IP-aadressidele. Eelkõige on mõned neist IP-dest pärit Shenyangist Hiinast ja 2014. aasta rünnakust Korea Hydro & Nuclear Power Co. vastu.
"Põhja-Korea kaitsetehnoloogiale suunatud häkkimiskatsed eeldatavasti jätkuvad," seisis Korea riikliku politseiagentuuri avalduses. Agentuur soovitab kaitseettevõtetel ja nende partneritel kasutada kahefaktorilist autentimist ja perioodiliselt muuta oma kontodega seotud paroole, eraldada sisemised võrgud välistest võrkudest ning blokeerida volitamata ja mittevajalike välismaiste IP-aadresside juurdepääs tundlikele ressurssidele.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/cyberattacks-data-breaches/north-korea-apt-triumvirate-spied-on-south-korean-defense-industry-for-years
