ภัยคุกคามขั้นสูงแบบถาวร (APT) ชั้นนำของเกาหลีเหนือได้สอดแนมผู้รับเหมาด้านกลาโหมของเกาหลีใต้อย่างเงียบๆ เป็นเวลาอย่างน้อยหนึ่งปีครึ่ง โดยแทรกซึมเข้าไปในองค์กรประมาณ 10 แห่ง
ตำรวจเกาหลีใต้ได้รับการปล่อยตัวในสัปดาห์นี้ ผลการสอบสวน ที่เปิดเผยการรณรงค์จารกรรมที่เกิดขึ้นพร้อมกันซึ่งดำเนินการโดย อันดาริเอล (อาคา โอนิกซ์ สลีต, ไซเลนท์ ชอลลิมา, พลูโตเนียม) คิมซูกี้ (aka APT 43, Thallium, Velvet Chollima, Black Banshee) และ Lazarus Group ในวงกว้าง หน่วยงานบังคับใช้กฎหมายไม่ได้ระบุชื่อองค์กรป้องกันเหยื่อหรือให้รายละเอียดเกี่ยวกับข้อมูลที่ถูกขโมย
การประกาศดังกล่าวมีขึ้นหนึ่งวันหลังจากที่เกาหลีเหนือดำเนินการ การฝึกจำลองการตอบโต้ด้วยนิวเคลียร์ครั้งแรก.
DPRK APT ยังคงมีอยู่
มีเพียงไม่กี่ประเทศที่ตระหนักถึงภัยคุกคามทางไซเบอร์จากรัฐต่างประเทศเช่นเกาหลีใต้ และมีอุตสาหกรรมเพียงไม่กี่แห่งที่ตระหนักถึงการทหารและการป้องกันประเทศ แต่คิมก็เก่งที่สุด ดูเหมือนจะหาวิธีอยู่เสมอ.
“ภัยคุกคาม APT โดยเฉพาะอย่างยิ่งภัยคุกคามที่ขับเคลื่อนโดยผู้มีบทบาทระดับรัฐ เป็นที่ทราบกันว่ายากต่อการยับยั้งอย่างเต็มที่” Mr. Ngoc Bui ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่ Menlo Security กล่าว “หาก APT หรือนักแสดงมีแรงจูงใจสูง ก็จะมีอุปสรรคเล็กๆ น้อยๆ ที่ไม่สามารถเอาชนะได้ในที่สุด”
ตัวอย่างเช่น ในเดือนพฤศจิกายน 2022 Lazarus กำหนดเป้าหมายผู้รับเหมาที่มีความรู้ทางไซเบอร์เพียงพอที่จะใช้งานเครือข่ายภายในและภายนอกที่แยกจากกัน อย่างไรก็ตาม แฮกเกอร์ใช้ประโยชน์จากความประมาทเลินเล่อในการจัดการระบบที่เชื่อมต่อทั้งสองเข้าด้วยกัน ประการแรก แฮกเกอร์เจาะระบบและติดไวรัสเซิร์ฟเวอร์เครือข่ายภายนอก ในขณะที่การป้องกันล้มเหลวสำหรับการทดสอบเครือข่าย พวกมันก็เจาะผ่านระบบเชื่อมต่อเครือข่ายและเข้าไปในอวัยวะภายใน จากนั้นพวกเขาก็เริ่มเก็บเกี่ยวและกรอง “ข้อมูลสำคัญ” จากคอมพิวเตอร์ของพนักงานหกเครื่อง
ในอีกกรณีหนึ่งที่เริ่มประมาณเดือนตุลาคม 2022 Andariel ได้รับข้อมูลการเข้าสู่ระบบที่เป็นของพนักงานของบริษัทที่ดำเนินการบำรุงรักษาไอทีระยะไกลให้กับผู้รับเหมาด้านกลาโหมรายหนึ่งที่เป็นปัญหา การใช้บัญชีที่ถูกไฮแจ็ก ทำให้เซิร์ฟเวอร์ของบริษัทติดมัลแวร์และข้อมูลที่ถูกกรองที่เกี่ยวข้องกับเทคโนโลยีการป้องกัน
ตำรวจยังเน้นย้ำถึงเหตุการณ์ที่กินเวลาตั้งแต่เดือนเมษายนถึงกรกฎาคม 2023 ซึ่งคิมซูกีใช้ประโยชน์จากเซิร์ฟเวอร์อีเมลกรุ๊ปแวร์ที่บริษัทพันธมิตรของบริษัทด้านกลาโหมแห่งหนึ่งใช้ ช่องโหว่ทำให้ผู้โจมตีที่ไม่ได้รับอนุญาตดาวน์โหลดไฟล์ขนาดใหญ่ที่ถูกส่งภายในทางอีเมลได้
ไล่ล่าลาซารัส
Bui อธิบายว่า "กลุ่ม DPRK เช่น Lazarus มักใช้ซ้ำไม่เพียงแต่มัลแวร์ของพวกเขาเท่านั้น แต่ยังรวมไปถึงโครงสร้างพื้นฐานเครือข่ายของพวกเขาด้วย ซึ่งอาจเป็นทั้งจุดอ่อนและจุดแข็งในการดำเนินงานของพวกเขา ความล้มเหลวของ OPSEC และการนำโครงสร้างพื้นฐานกลับมาใช้ใหม่ รวมกับกลยุทธ์เชิงนวัตกรรม เช่น บริษัทที่แทรกซึม ทำให้พวกเขามีความน่าสนใจเป็นพิเศษในการเฝ้าติดตาม”
ผู้กระทำผิดที่อยู่เบื้องหลังการละเมิดการป้องกันแต่ละครั้งได้รับการระบุตัวด้วยมัลแวร์ที่พวกเขาใช้งานหลังการประนีประนอม รวมถึง Nukesped และ Tiger Remote Access Trojans (RATs) รวมถึงสถาปัตยกรรมและที่อยู่ IP ของพวกเขา โดยเฉพาะอย่างยิ่ง IP บางส่วนที่โยงไปถึงเสิ่นหยาง ประเทศจีน และการโจมตีบริษัท Korea Hydro & Nuclear Power Co. ในปี 2014
“ความพยายามแฮ็กข้อมูลของเกาหลีเหนือโดยมุ่งเป้าไปที่เทคโนโลยีการป้องกันคาดว่าจะดำเนินต่อไป” สำนักงานตำรวจแห่งชาติเกาหลี ระบุในแถลงการณ์ หน่วยงานแนะนำให้บริษัทป้องกันประเทศและพันธมิตรใช้การตรวจสอบสิทธิ์แบบสองปัจจัย และเปลี่ยนรหัสผ่านที่เกี่ยวข้องกับบัญชีของตนเป็นระยะๆ ปิดการเชื่อมต่อภายในจากเครือข่ายภายนอก และบล็อกการเข้าถึงทรัพยากรที่ละเอียดอ่อนสำหรับที่อยู่ IP ต่างประเทศที่ไม่ได้รับอนุญาตและไม่จำเป็น
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cyberattacks-data-breaches/north-korea-apt-triumvirate-spied-on-south-korean-defense-industry-for-years
