Le principali minacce avanzate persistenti (APT) della Corea del Nord hanno spiato silenziosamente gli appaltatori della difesa sudcoreani per almeno un anno e mezzo, infiltrandosi in circa 10 organizzazioni.
La polizia sudcoreana è stata rilasciata questa settimana i risultati di un'indagine che ha scoperto campagne di spionaggio simultanee portate avanti da Andariel (aka Onice Sleet, Silent Chollima, Plutonio), Kimsuky (alias APT 43, Tallium, Velvet Chollima, Black Banshee) e il più ampio Gruppo Lazarus. Le forze dell'ordine non hanno nominato le organizzazioni di difesa delle vittime né fornito dettagli sui dati rubati.
L'annuncio arriva un giorno dopo che la Corea del Nord ha condotto il suo prima esercitazione in assoluto che simula un contrattacco nucleare.
Gli APT della RPDC persistono
Pochi paesi sono così consapevoli delle minacce informatiche provenienti da stati-nazione stranieri come la Corea del Sud, e poche industrie sono così consapevoli come quella militare e della difesa. Eppure Kim è la migliore sembra che trovi sempre un modo.
“Le minacce APT, in particolare quelle guidate da attori a livello statale, sono notoriamente difficili da scoraggiare completamente”, lamenta Ngoc Bui, esperto di sicurezza informatica presso Menlo Security. "Se un APT o un attore è altamente motivato, sono pochi gli ostacoli che alla fine non potranno essere superati."
Nel novembre 2022, ad esempio, Lazarus ha preso di mira un appaltatore sufficientemente consapevole dal punto di vista informatico da gestire reti interne ed esterne separate. Tuttavia, gli hacker hanno approfittato della loro negligenza nel gestire il sistema che collega i due. Innanzitutto gli hacker hanno violato e infettato un server di rete esterno. Mentre le difese erano abbassate per un test di rete, hanno scavato un tunnel attraverso il sistema di connessione di rete e nelle viscere. Hanno quindi iniziato a raccogliere ed esfiltrare “dati importanti” dai computer di sei dipendenti.
In un altro caso iniziato intorno all’ottobre 2022, Andariel ha ottenuto le informazioni di accesso di un dipendente di un’azienda che eseguiva manutenzione informatica a distanza per uno degli appaltatori della difesa in questione. Utilizzando l'account violato, ha infettato i server dell'azienda con malware e ha esfiltrato dati relativi alle tecnologie di difesa.
La polizia ha anche evidenziato un incidente durato da aprile a luglio 2023, in cui Kimsuky ha sfruttato il server di posta elettronica groupware utilizzato da una società partner di un'azienda di difesa. Una vulnerabilità ha consentito agli aggressori non autorizzati di scaricare file di grandi dimensioni inviati internamente tramite e-mail.
Spegnere Lazzaro
È utile alle autorità, spiega Bui, che “gruppi della RPDC come Lazarus riutilizzano spesso non solo il loro malware ma anche la loro infrastruttura di rete, che può essere sia una vulnerabilità che un punto di forza nelle loro operazioni. I loro fallimenti OPSEC e il riutilizzo delle infrastrutture, combinati con tattiche innovative come l’infiltrazione nelle aziende, li rendono particolarmente interessanti da monitorare”.
Gli autori di ciascuna violazione della difesa sono stati identificati grazie al malware distribuito dopo la compromissione, inclusi i Trojan di accesso remoto (RAT) Nukesped e Tiger, nonché alla loro architettura e ai loro indirizzi IP. In particolare, alcuni di questi IP risalgono a Shenyang, in Cina, e a un attacco del 2014 contro la Korea Hydro & Nuclear Power Co.
"Si prevede che i tentativi di hacking della Corea del Nord contro la tecnologia di difesa continueranno", ha affermato in una nota l'Agenzia nazionale di polizia coreana. L’agenzia raccomanda alle società di difesa e ai loro partner di utilizzare l’autenticazione a due fattori e di modificare periodicamente le password associate ai propri account, di isolare le reti interne da quelle esterne e di bloccare l’accesso alle risorse sensibili per indirizzi IP stranieri non autorizzati e non necessari.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cyberattacks-data-breaches/north-korea-apt-triumvirate-spied-on-south-korean-defense-industry-for-years
