Первые постоянные угрозы Северной Кореи (APT) тайно шпионили за южнокорейскими оборонными подрядчиками в течение как минимум полутора лет, проникнув примерно в 10 организаций.

Южнокорейская полиция на этой неделе освобождена выводы расследования которые раскрыли параллельные шпионские кампании, проводимые Андариэль (он же Onyx Sleet, Silent Chollima, Plutonium), Kimsuky (также известные как APT 43, Таллий, Бархатная Чоллима, Черная Банши) и более широкая Группа Лазаря. Правоохранительные органы не назвали названия организаций, защищающих жертв, и не предоставили подробную информацию об украденных данных.

Объявление было сделано через день после того, как Северная Корея провела первые в мире учения, имитирующие ядерную контратаку.

APT в КНДР сохраняются

Лишь немногие страны настолько осведомлены о киберугрозах со стороны иностранных государств, как Южная Корея, и лишь немногие отрасли промышленности так осведомлены, как военная и оборонная промышленность. И все же, лучший Ким всегда кажется, что нахожу способ.

«Апт-угрозы, особенно те, которые исходят от субъектов государственного уровня, как известно, трудно полностью сдержать», — сетует г-н Нгок Буи, эксперт по кибербезопасности в Menlo Security. «Если APT или действующее лицо высоко мотивированы, есть несколько препятствий, которые в конечном итоге невозможно преодолеть».

Например, в ноябре 2022 года Lazarus нацелился на подрядчика, который был достаточно осведомлен о кибербезопасности, чтобы управлять отдельными внутренними и внешними сетями. Однако хакеры воспользовались их небрежностью в управлении соединяющей их системой. Сначала хакеры взломали и заразили сервер внешней сети. Пока защита была отключена для проверки сети, они проложили туннель через систему сетевых подключений во внутренние помещения. Затем они начали собирать и извлекать «важные данные» с компьютеров шести сотрудников.

В другом случае, начавшемся примерно в октябре 2022 года, Андариэль получила данные для входа в систему, принадлежащие сотруднику компании, которая выполняла удаленное ИТ-обслуживание для одного из рассматриваемых оборонных подрядчиков. Используя взломанную учетную запись, они заразили серверы компании вредоносным ПО и украли данные, относящиеся к оборонным технологиям.

Полиция также рассказала об инциденте, который длился с апреля по июль 2023 года, когда Кимсуки использовал сервер электронной почты группового программного обеспечения, используемый компанией-партнером одной оборонной фирмы. Уязвимость позволяла неавторизованным злоумышленникам загружать большие файлы, которые были отправлены внутри компании по электронной почте.

Уничтожение Лазаря

Властям полезно, поясняет Буй, то, что «группы КНДР, такие как Lazarus, часто повторно используют не только свое вредоносное ПО, но и свою сетевую инфраструктуру, что может быть как уязвимостью, так и преимуществом в их деятельности. Их сбои в OPSEC и повторное использование инфраструктуры в сочетании с инновационными тактиками, такими как проникновение в компании, делают их особенно интересными для мониторинга».

Виновные в каждом из нарушений защиты были идентифицированы благодаря вредоносному ПО, которое они развернули после компрометации, включая трояны удаленного доступа Nukesped и Tiger, а также их архитектуре и IP-адресам. Примечательно, что некоторые из этих IP-адресов были связаны с Шеньяном (Китай) и атакой в ​​2014 году на компанию Korea Hydro & Nuclear Power Co.

«Ожидается, что попытки Северной Кореи взломать оборонные технологии будут продолжаться», — говорится в заявлении Корейского национального полицейского управления. Агентство рекомендует оборонным компаниям и их партнерам использовать двухфакторную аутентификацию и периодически менять пароли, связанные с их учетными записями, оцеплять внутренние сети от внешних и блокировать доступ к конфиденциальным ресурсам для несанкционированных и ненужных иностранных IP-адресов.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cyberattacks-data-breaches/north-korea-apt-triumvirate-spied-on-south-korean-defense-industry-for-years