Nord-Koreas fremste avanserte vedvarende trusler (APTs) har i det stille spionert på sørkoreanske forsvarsentreprenører i minst halvannet år, og infiltrert rundt 10 organisasjoner.

Sørkoreansk politi løslatt denne uken funnene fra en etterforskning som avdekket samtidige spionasjekampanjer utført av andariel (aka Onyx Sleet, Silent Chollima, Plutonium), Kimsuky (aka APT 43, Thallium, Velvet Chollima, Black Banshee), og den bredere Lazarus Group. Rettshåndhevelse ga ikke navn til forsvarsorganisasjonene for offeret eller ga detaljer om de stjålne dataene.

Kunngjøringen kommer en dag etter at Nord-Korea gjennomførte sin første øvelse som simulerer et kjernefysisk motangrep.

DPRK APTs vedvarer

Få land er så oppmerksomme på cybertrusler fra utenlandske nasjonalstater som Sør-Korea, og få industrier så oppmerksomme som militær og forsvar. Og likevel, Kims beste ser alltid ut til å finne en måte.

"APT-trusler, spesielt de som drives av aktører på statlig nivå, er notorisk vanskelige å avskrekke fullt ut," beklager Ngoc Bui, cybersikkerhetsekspert ved Menlo Security. "Hvis en APT eller skuespiller er svært motivert, er det få barrierer som ikke til slutt kan overvinnes."

I november 2022, for eksempel, siktet Lazarus seg mot en entreprenør som var cyberbevisst nok til å drive separate interne og eksterne nettverk. Imidlertid utnyttet hackerne sin uaktsomhet i å administrere systemet som koblet de to sammen. Først brøt hackerne og infiserte en ekstern nettverksserver. Mens forsvar var nede for en nettverkstest, tunnelerte de gjennom nettverkstilkoblingssystemet og inn i innmaten. De begynte deretter å høste og eksfiltrere «viktige data» fra seks ansattes datamaskiner.

I en annen sak som startet rundt oktober 2022, innhentet Andariel påloggingsinformasjon som tilhørte en ansatt i et selskap som utførte eksternt IT-vedlikehold for en av de aktuelle forsvarsentreprenørene. Ved å bruke den kaprede kontoen infiserte den selskapets servere med skadelig programvare og eksfiltrerte data relatert til forsvarsteknologier.

Politiet fremhevet også en hendelse som varte fra april til juli 2023, der Kimsuky utnyttet gruppevare-e-postserveren som ble brukt av et forsvarsfirmas partnerselskap. En sårbarhet gjorde det mulig for uautoriserte angripere å laste ned store filer som ble sendt internt via e-post.

Snuser ut Lasarus

Til nytte for myndighetene, forklarer Bui, er at «DPRK-grupper som Lazarus ofte gjenbruker ikke bare skadevare, men også nettverksinfrastrukturen, noe som kan være både en sårbarhet og en styrke i deres operasjoner. Deres OPSEC-feil og gjenbruk av infrastruktur, kombinert med innovative taktikker som å infiltrere selskaper, gjør dem spesielt spennende å overvåke.»

Gjerningsmennene bak hvert av forsvarsbruddene ble identifisert takket være skadelig programvare de distribuerte etter kompromiss – inkludert Nukesped og Tiger fjerntilgangstrojanere (RAT) – samt deres arkitektur og IP-adresser. Spesielt kan noen av disse IP-ene spores til Shenyang, Kina, og et angrep i 2014 mot Korea Hydro & Nuclear Power Co.

"Nord-Koreas hackingforsøk rettet mot forsvarsteknologi forventes å fortsette," sa det koreanske nasjonale politibyrået i en uttalelse. Byrået anbefaler at forsvarsselskaper og deres partnere bruker tofaktorautentisering og med jevne mellomrom endre passord knyttet til sine kontoer, sperre av interne fra eksterne nettverk og blokkere tilgang til sensitive ressurser for uautoriserte og unødvendige utenlandske IP-adresser.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cyberattacks-data-breaches/north-korea-apt-triumvirate-spied-on-south-korean-defense-industry-for-years