Primele amenințări persistente avansate (APT) din Coreea de Nord spionează în liniște contractanții de apărare sud-coreeni de cel puțin un an și jumătate, infiltrăndu-se în aproximativ 10 organizații.
Poliția sud-coreeană a fost eliberată săptămâna aceasta constatările unei anchete care a dezvăluit campanii de spionaj concurente desfășurate de andariel (alias Onyx Sleet, Silent Chollima, Plutoniu), kimsuky (alias APT 43, Thallium, Velvet Chollima, Black Banshee) și mai larg Lazarus Group. Oamenii legii nu au numit organizațiile de apărare a victimelor și nici nu au oferit detalii cu privire la datele furate.
Anunțul vine la o zi după ce Coreea de Nord și-a efectuat primul exercițiu care simulează un contraatac nuclear.
APT-urile RPDC persistă
Puține țări sunt atât de conștiente de amenințările cibernetice din partea statelor naționale străine precum Coreea de Sud și puține industrii sunt atât de conștiente ca cele militare și de apărare. Și totuși, Kim e cea mai bună par să găsească întotdeauna o cale.
„Amenințările APT, în special cele conduse de actori la nivel de stat, sunt notoriu greu de descurajat pe deplin”, deplânge domnul Ngoc Bui, expert în securitate cibernetică la Menlo Security. „Dacă un APT sau un actor este foarte motivat, există puține bariere care nu pot fi depășite în cele din urmă.”
În noiembrie 2022, de exemplu, Lazarus a vizat un contractor care era suficient de conștient cibernetic pentru a opera rețele interne și externe separate. Totuși, hackerii au profitat de neglijența lor în gestionarea sistemului care leagă cei doi. În primul rând, hackerii au spart și au infectat un server de rețea extern. În timp ce apărările erau în jos pentru un test de rețea, au făcut tunel prin sistemul de conexiune la rețea și în interior. Apoi au început să colecteze și să exfiltreze „date importante” de pe șase computere ale angajaților.
Într-un alt caz început în jurul lunii octombrie 2022, Andariel a obținut informații de conectare aparținând unui angajat al unei companii care a efectuat întreținere IT de la distanță pentru unul dintre contractorii de apărare în cauză. Folosind contul deturnat, a infectat serverele companiei cu malware și a exfiltrat date referitoare la tehnologiile de apărare.
Poliția a evidențiat, de asemenea, un incident care a durat din aprilie până în iulie 2023, în care Kimsuky a exploatat serverul de e-mail groupware folosit de compania parteneră a unei firme de apărare. O vulnerabilitate a permis atacatorilor neautorizați să descarce fișiere mari care au fost trimise intern prin e-mail.
Atingându-l pe Lazăr
De folos autorităților, explică Bui, este că „grupurile din RPDC, cum ar fi Lazarus, își reutilizează frecvent nu numai malware-ul, ci și infrastructura de rețea, care poate fi atât o vulnerabilitate, cât și un punct forte în operațiunile lor. Eșecurile lor OPSEC și reutilizarea infrastructurii, combinate cu tactici inovatoare, cum ar fi infiltrarea companiilor, le fac deosebit de interesante de monitorizat.”
Făptuitorii din spatele fiecăreia dintre încălcările apărării au fost identificați datorită malware-ului pe care l-au implementat după compromis - inclusiv troienii de acces la distanță (RAT) Nukesped și Tiger -, precum și arhitecturii și adreselor IP ale acestora. În special, unele dintre aceste IP-uri au fost urmărite la Shenyang, China și un atac din 2014 împotriva Korea Hydro & Nuclear Power Co.
„Se așteaptă ca tentativele de hacking ale Coreei de Nord care vizează tehnologia de apărare să continue”, a declarat Agenția Națională de Poliție Coreeană într-un comunicat. Agenția recomandă companiilor de apărare și partenerilor săi să folosească autentificarea cu doi factori și să schimbe periodic parolele asociate conturilor lor, să izoleze rețelele interne de externe și să blocheze accesul la resursele sensibile pentru adrese IP străine neautorizate și inutile.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/cyberattacks-data-breaches/north-korea-apt-triumvirate-spied-on-south-korean-defense-industry-for-years
