Перші передові постійні загрози Північної Кореї (APT) тихо шпигували за південнокорейськими оборонними підрядниками щонайменше півтора року, проникнувши приблизно в 10 організацій.
Цього тижня поліція Південної Кореї звільнила висновки розслідування який розкрив одночасні шпигунські кампанії, здійснені Андаріель (він же Onyx Sleet, Silent Chollima, Plutonium), Кімсукі (він же APT 43, Thallium, Velvet Chollima, Black Banshee) і ширшу групу Lazarus. Правоохоронні органи не назвали організацій захисту жертв і не надали подробиць викрадених даних.
Оголошення з’явилося через день після проведення Північною Кореєю перше в історії навчання імітує ядерну контратаку.
APT КНДР зберігаються
Небагато країн настільки обізнані про кіберзагрози з боку іноземних національних держав, як Південна Корея, і небагато галузей промисловості настільки обізнані, як військова та оборонна. І все ж Кім найкраща здається, завжди знаходить спосіб.
«Відомо, що загрози APT, особливо ті, що створюються суб’єктами на державному рівні, важко повністю стримати», — нарікає пан Нгок Буй, експерт з кібербезпеки Menlo Security. «Якщо APT або актор мають високу мотивацію, є кілька перешкод, які врешті-решт неможливо подолати».
Наприклад, у листопаді 2022 року Lazarus націлився на підрядника, який був достатньо обізнаним у кібернетичному просторі, щоб керувати окремими внутрішніми та зовнішніми мережами. Однак хакери скористалися їхньою недбалістю в управлінні системою, що з’єднує їх. Спочатку хакери зламали та заразили сервер зовнішньої мережі. Поки захисні засоби були вимкнені для перевірки мережі, вони пройшли через систему мережевого підключення до внутрішніх частин. Потім вони почали збирати та вилучати «важливі дані» з шести комп’ютерів співробітників.
В іншій справі, що розпочалася приблизно в жовтні 2022 року, Андаріель отримав дані для входу, що належать співробітнику компанії, яка виконувала дистанційне обслуговування ІТ для одного з відповідних оборонних підрядників. Використовуючи зламаний обліковий запис, він заразив сервери компанії шкідливим програмним забезпеченням і викрав дані, пов’язані з захисними технологіями.
Поліція також висвітлила інцидент, який тривав з квітня по липень 2023 року, під час якого Кімсукі використав сервер електронної пошти групового програмного забезпечення, який використовувався компанією-партнером однієї оборонної фірми. Уразливість дозволила неавторизованим зловмисникам завантажувати великі файли, надіслані внутрішньою електронною поштою.
Знищення Лазаря
Буй пояснює, що для влади корисно те, що «групи КНДР, такі як Lazarus, часто повторно використовують не лише своє шкідливе програмне забезпечення, але й свою мережеву інфраструктуру, що може бути як вразливою, так і сильною стороною в їхніх операціях. Їхні збої OPSEC і повторне використання інфраструктури в поєднанні з інноваційними тактиками, такими як проникнення в компанії, роблять їх особливо цікавими для моніторингу».
Зловмисників, які стояли за кожним з проломів у захисті, було виявлено завдяки зловмисному програмному забезпеченню, яке вони розгорнули після зламу, зокрема троянам віддаленого доступу Nukesped і Tiger (RAT), а також їхній архітектурі та IP-адресам. Примітно, що деякі з цих IP-адрес простежуються до Шеньяну, Китай, і атаки на Korea Hydro & Nuclear Power Co у 2014 році.
«Очікується, що хакерські спроби Північної Кореї, спрямовані на оборонні технології, триватимуть», — йдеться в заяві корейського національного поліцейського управління. Агентство рекомендує оборонним компаніям та їхнім партнерам використовувати двофакторну аутентифікацію та періодично змінювати паролі, пов’язані з їхніми обліковими записами, відгороджувати внутрішні від зовнішніх мереж і блокувати доступ до конфіденційних ресурсів для несанкціонованих і непотрібних іноземних IP-адрес.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cyberattacks-data-breaches/north-korea-apt-triumvirate-spied-on-south-korean-defense-industry-for-years
