As principais ameaças persistentes avançadas (APTs) da Coreia do Norte espionam discretamente os empreiteiros de defesa sul-coreanos há pelo menos um ano e meio, infiltrando-se em cerca de 10 organizações.

Polícia sul-coreana divulgou esta semana as conclusões de uma investigação que descobriu campanhas simultâneas de espionagem realizadas por andriel (também conhecido como Onyx Sleet, Silent Chollima, Plutônio), kimsuky (também conhecido como APT 43, Thallium, Velvet Chollima, Black Banshee) e o Grupo Lazarus mais amplo. As autoridades policiais não identificaram as organizações de defesa das vítimas nem forneceram detalhes sobre os dados roubados.

O anúncio surge um dia depois de a Coreia do Norte ter conduzido a sua primeiro exercício simulando um contra-ataque nuclear.

APTs da RPDC persistem

Poucos países estão tão conscientes das ameaças cibernéticas de Estados-nação estrangeiros como a Coreia do Sul, e poucas indústrias estão tão conscientes como a militar e a de defesa. E ainda assim, o melhor de Kim sempre parecem encontrar uma maneira.

“As ameaças APT, especialmente aquelas impulsionadas por intervenientes a nível estatal, são notoriamente difíceis de deter totalmente”, lamenta o Sr. Ngoc Bui, especialista em segurança cibernética da Menlo Security. “Se um APT ou ator estiver altamente motivado, existem poucas barreiras que não poderão ser superadas.”

Em Novembro de 2022, por exemplo, a Lazarus teve como alvo um empreiteiro que tinha consciência cibernética suficiente para operar redes internas e externas separadas. No entanto, os hackers aproveitaram a negligência no gerenciamento do sistema que conecta os dois. Primeiro, os hackers violaram e infectaram um servidor de rede externo. Enquanto as defesas estavam abaixadas para um teste de rede, elas escavaram através do sistema de conexão de rede e entraram nas entranhas. Eles então começaram a coletar e exfiltrar “dados importantes” dos computadores de seis funcionários.

Num outro caso iniciado por volta de outubro de 2022, Andariel obteve informações de login pertencentes a um funcionário de uma empresa que realizava manutenção remota de TI para um dos prestadores de serviços de defesa em questão. Usando a conta sequestrada, infectou os servidores da empresa com malware e exfiltrou dados relacionados a tecnologias de defesa.

A polícia também destacou um incidente que durou de abril a julho de 2023, no qual Kimsuky explorou o servidor de e-mail groupware usado por uma empresa parceira de uma empresa de defesa. Uma vulnerabilidade permitiu que invasores não autorizados baixassem arquivos grandes enviados internamente por e-mail.

Exterminando Lázaro

É útil para as autoridades, explica Bui, que “grupos da RPDC, como o Lazarus, reutilizam frequentemente não só o seu malware, mas também a sua infraestrutura de rede, o que pode ser tanto uma vulnerabilidade como um ponto forte nas suas operações. Suas falhas de OPSEC e reutilização de infraestrutura, combinadas com táticas inovadoras, como a infiltração de empresas, tornam-nos particularmente intrigantes de monitorar.”

Os perpetradores por trás de cada uma das violações de defesa foram identificados graças ao malware que implantaram após o comprometimento – incluindo os Trojans de acesso remoto (RATs) Nukesped e Tiger – bem como sua arquitetura e endereços IP. Notavelmente, alguns desses IPs foram atribuídos a Shenyang, na China, e a um ataque de 2014 contra a Korea Hydro & Nuclear Power Co.

“Espera-se que as tentativas de hackers da Coreia do Norte visando a tecnologia de defesa continuem”, disse a Agência Nacional de Polícia Coreana em comunicado. A agência recomenda que as empresas de defesa e seus parceiros usem autenticação de dois fatores e alterem periodicamente as senhas associadas às suas contas, isolem redes internas de redes externas e bloqueiem o acesso a recursos confidenciais para endereços IP estrangeiros não autorizados e desnecessários.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/cyberattacks-data-breaches/north-korea-apt-triumvirate-spied-on-south-korean-defense-industry-for-years