Generatiivinen tiedustelu

Cyber ​​Security

3 Pohjois-Korean APT:tä vakoili Etelä-Korean puolustusteollisuutta

Jälleen julkaissut Platon
Jälleen julkaissut Platon

Treffi:

Luettu: 0

Pohjois-Korean ensi-iltansa kehittyneet jatkuvat uhkat (APT) ovat hiljaa vakoilleet eteläkorealaisia ​​puolustusurakoitsijoita ainakin puolentoista vuoden ajan ja soluttautuneet noin 10 organisaatioon.

Etelä-Korean poliisi vapautti tällä viikolla tutkimuksen tulokset joka paljasti samanaikaiset vakoilukampanjat andariel (alias Onyx Sleet, Silent Chollima, Plutonium), kimsuky (alias APT 43, Tallium, Velvet Chollima, Black Banshee) ja laajempi Lazarus Group. Lainvalvontaviranomaiset eivät nimenneet uhrien puolustusjärjestöjä eivätkä toimittaneet tietoja varastetuista tiedoista.

Ilmoitus tuli päivä sen jälkeen, kun Pohjois-Korea teki sen ensimmäinen ydinharjoitus, joka simuloi ydinvastahyökkäystä.

Pohjois-Korean APT:t jatkuvat

Harvat maat ovat niin tietoisia vieraiden kansallisvaltioiden aiheuttamista kyberuhkista kuin Etelä-Korea, ja harvat teollisuudenalat ovat niin tietoisia sotilaallisuudesta ja puolustuksesta. Ja silti, Kimin paras aina tuntuu löytävän keinon.

"APT-uhkia, erityisesti valtion tason toimijoiden ohjaamia uhkia, on tunnetusti vaikea estää kokonaan", valittaa Menlo Securityn kyberturvallisuusasiantuntija Ngoc Bui. "Jos APT tai näyttelijä on erittäin motivoitunut, on olemassa muutamia esteitä, joita ei lopulta voida voittaa."

Esimerkiksi marraskuussa 2022 Lazarus tavoitti urakoitsijan, joka oli riittävän kybertietoinen hallitakseen erillisiä sisäisiä ja ulkoisia verkkoja. Hakkerit käyttivät kuitenkin hyväkseen laiminlyöntiään hallitaessaan näitä kahta yhdistävää järjestelmää. Ensinnäkin hakkerit murtautuivat ja tartuttavat ulkoisen verkkopalvelimen. Kun puolustukset olivat alhaalla verkkotestin vuoksi, ne tunnelivat verkkoyhteysjärjestelmän läpi sisäosiin. Sitten he alkoivat kerätä ja suodattaa "tärkeitä tietoja" kuudesta työntekijän tietokoneesta.

Toisessa, lokakuun 2022 tienoilla alkaneessa tapauksessa Andariel sai kirjautumistiedot, jotka kuuluivat yhdelle kyseiselle puolustusurakoitsijalle IT-etähuoltoa suorittaneen yrityksen työntekijälle. Kaapatun tilin avulla se tartutti yhtiön palvelimia haittaohjelmilla ja suodatti puolustusteknologiaan liittyviä tietoja.

Poliisi nosti esiin myös huhti-heinäkuussa 2023 kestäneen tapauksen, jossa Kimsuky käytti hyväkseen yhden puolustusalan yrityksen kumppaniyrityksen käyttämää ryhmätyösähköpostipalvelinta. Haavoittuvuuden ansiosta luvattomat hyökkääjät pystyivät lataamaan suuria tiedostoja, jotka oli lähetetty sisäisesti sähköpostitse.

Lasaruksen nuuskiminen

Viranomaisille on hyödyllistä, Bui selittää, että "Korean kansantasavallan ryhmät, kuten Lazarus, käyttävät usein uudelleen paitsi haittaohjelmiaan myös verkkoinfrastruktuuriaan, mikä voi olla sekä haavoittuvuus että vahvuus heidän toiminnassaan. Niiden OPSEC-virheet ja infrastruktuurin uudelleenkäyttö yhdistettynä innovatiivisiin taktiikoihin, kuten yrityksiin soluttautumiseen, tekevät niistä erityisen kiehtovaa seurata.

Jokaisen puolustusloukkauksen taustalla olevat tekijät tunnistettiin niiden haittaohjelmien, joita he ottavat käyttöön kompromissin jälkeen – mukaan lukien Nukesped- ja Tiger-etäkäyttötroijalaiset (RAT) – sekä niiden arkkitehtuurin ja IP-osoitteiden ansiosta. Erityisesti jotkut IP-osoitteista jäljitettiin Shenyangiin Kiinaan ja vuoden 2014 hyökkäykseen Korea Hydro & Nuclear Power Co:ta vastaan.

"Pohjois-Korean puolustusteknologiaan kohdistuvien hakkerointiyritysten odotetaan jatkuvan", Korean kansallinen poliisivirasto sanoi lausunnossaan. Virasto suosittelee, että puolustusyritykset ja niiden yhteistyökumppanit käyttävät kaksivaiheista todennusta ja vaihtavat säännöllisesti tiliinsä liittyviä salasanoja, eristävät sisäiset verkot ja estävät pääsyn arkaluonteisiin resursseihin luvattomille ja tarpeettomille ulkomaisille IP-osoitteille.

spot_img

Uusin älykkyys

spot_img

Tekijänoikeus @ 2024 Plato Technologies Inc.

Keskustele kanssamme

Hei siellä! Kuinka voin olla avuksi?