האיומים המתקדמים המתמשכים (APTs) הבכורה של צפון קוריאה ריגלו בשקט אחר קבלני הגנה דרום קוריאנים במשך שנה וחצי לפחות, והסתננו לכ-10 ארגונים.
משטרת דרום קוריאה פרסמה השבוע ממצאי החקירה שחשפה מסעות ריגול במקביל שבוצעו על ידי אנדריאל (המכונה Slet Onyx, Silent Cholima, Plutonium), קימסוקי (המכונה APT 43, Thallium, Velvet Chollima, Black Banshee), וקבוצת Lazarus הרחבה יותר. רשויות אכיפת החוק לא ציינו את שמות ארגוני ההגנה של הקורבן ולא סיפקו פרטים על הנתונים הגנובים.
ההודעה מגיעה יום אחד לאחר שצפון קוריאה ערכה את זה תרגיל ראשון אי פעם המדמה התקפת נגד גרעינית.
APTs של DPRK נמשכים
מדינות מעטות כל כך מודעות לאיומי סייבר מצד מדינות לאום זרות כמו דרום קוריאה, ומעט תעשיות מודעות כל כך כמו צבא והגנה. ועדיין, הכי טוב של קים תמיד נראה למצוא דרך.
"איומי APT, במיוחד אלו המונעים על ידי שחקנים ברמת המדינה, ידועים לשמצה שקשה להרתיע באופן מלא", קונן מר Ngoc Bui, מומחה לאבטחת סייבר ב-Menlo Security. "אם ל-APT או שחקן יש מוטיבציה גבוהה, יש מעט מחסומים שלא ניתן בסופו של דבר להתגבר עליהם."
בנובמבר 2022, למשל, לזרוס כיוון לקבלן שהיה מודע מספיק לסייבר כדי להפעיל רשתות פנימיות וחיצוניות נפרדות. עם זאת, ההאקרים ניצלו את רשלנותם בניהול המערכת המחברת בין השניים. ראשית, ההאקרים פרצו והדביקו שרת רשת חיצוני. בזמן שההגנות היו מושבתות לבדיקת רשת, הן עברו דרך מערכת חיבור הרשת ואל הפנימיות. לאחר מכן הם החלו לקצור ולחלץ "נתונים חשובים" משישה מחשבי עובדים.
במקרה אחר שהחל בסביבות אוקטובר 2022, השיג אנדריאל פרטי התחברות השייכים לעובד של חברה שביצעה תחזוקת IT מרחוק עבור אחד מקבלני הביטחון המדוברים. באמצעות החשבון שנחטף, הוא הדביק את שרתי החברה בתוכנות זדוניות ונתונים מחולקים הקשורים לטכנולוגיות הגנה.
המשטרה גם הדגישה תקרית שנמשכה מאפריל עד יולי 2023, שבה קימסוקי ניצל את שרת הדוא"ל של תוכנות קבוצתיות בשימוש על ידי חברה שותפה של חברת הגנה אחת. פגיעות אפשרה לתוקפים הלא מורשים להוריד קבצים גדולים שנשלחו באופן פנימי בדוא"ל.
מרחפת את לזרוס
שימושי לרשויות, מסביר בוי, הוא ש"קבוצות של צפון קוריאה הצפונית כמו לזרוס משתמשות לעתים קרובות לא רק בתוכנות הזדוניות שלהן אלא גם בתשתית הרשת שלהן, מה שיכול להוות גם פגיעות וגם חוזק בפעילותן. כשלי OPSEC והשימוש החוזר בתשתיות שלהם, בשילוב עם טקטיקות חדשניות כמו חדירת חברות, הופכים אותן למסקרנות במיוחד לניטור".
המבצעים מאחורי כל אחת מהפרות ההגנה זוהו הודות לתוכנה הזדונית שהם פרסו לאחר הפשרה - כולל ה-Nuksped ו-Tiger הגישה מרחוק Trojans (RATs) - כמו גם הארכיטקטורה וכתובות ה-IP שלהם. יש לציין, שחלק מאותם כתובות IP נמצאו ב-Shenyang, סין, ומתקפה ב-2014 נגד קוריאה הידרו ו-Nclear Power Co.
"ניסיונות הפריצה של צפון קוריאה המכוונים לטכנולוגיית הגנה צפויים להימשך", נמסר בהצהרה של סוכנות המשטרה הלאומית הקוריאנית. הסוכנות ממליצה לחברות ביטחוניות ולשותפיהן להשתמש באימות דו-גורמי ולשנות מעת לעת סיסמאות הקשורות לחשבונות שלהן, לסגור רשתות פנימיות מרשתות חיצוניות ולחסום גישה למשאבים רגישים עבור כתובות IP זרות לא מורשות ומיותרות.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cyberattacks-data-breaches/north-korea-apt-triumvirate-spied-on-south-korean-defense-industry-for-years
