Trí thông minh dữ liệu tạo

An ninh mạng

3 APT của CHDCND Triều Tiên do thám ngành công nghiệp quốc phòng Hàn Quốc

Tái bản bởi Plato
Tái bản bởi Plato

Ngày:

Lượt xem: 0

Các mối đe dọa dai dẳng nâng cao (APT) đầu tiên của Triều Tiên đã âm thầm theo dõi các nhà thầu quốc phòng Hàn Quốc trong ít nhất một năm rưỡi, xâm nhập vào khoảng 10 tổ chức.

Cảnh sát Hàn Quốc tuần này đã thả kết quả của một cuộc điều tra đã phát hiện ra các chiến dịch gián điệp đồng thời được thực hiện bởi andariel (còn gọi là Onyx Sleet, Silent Chollima, Plutonium), kimsuky (còn gọi là APT 43, Thallium, Velvet Chollima, Black Banshee) và Nhóm Lazarus rộng hơn. Cơ quan thực thi pháp luật không nêu tên các tổ chức bảo vệ nạn nhân cũng như không cung cấp thông tin chi tiết về dữ liệu bị đánh cắp.

Thông báo này được đưa ra một ngày sau khi Triều Tiên tiến hành cuộc tập trận đầu tiên mô phỏng phản công hạt nhân.

APT của CHDCND Triều Tiên vẫn tồn tại

Rất ít quốc gia nhận thức rõ ràng về các mối đe dọa mạng từ các quốc gia nước ngoài như Hàn Quốc và rất ít ngành công nghiệp nhận thức rõ ràng như quân sự và quốc phòng. Chưa hết, Kim giỏi nhất dường như luôn tìm được cách.

Ông Ngọc Bùi, chuyên gia an ninh mạng tại Menlo Security, nhận xét: “Các mối đe dọa APT, đặc biệt là các mối đe dọa do các tác nhân cấp nhà nước gây ra, rất khó ngăn chặn hoàn toàn”. “Nếu một APT hoặc một diễn viên có động lực cao thì sẽ có rất ít rào cản mà cuối cùng không thể vượt qua được.”

Ví dụ: vào tháng 2022 năm XNUMX, Lazarus đã nhắm mục tiêu vào một nhà thầu có đủ hiểu biết về mạng để vận hành các mạng bên trong và bên ngoài riêng biệt. Tuy nhiên, hacker đã lợi dụng sự sơ suất của mình trong việc quản lý hệ thống kết nối cả hai. Đầu tiên, tin tặc xâm nhập và lây nhiễm một máy chủ mạng bên ngoài. Trong khi hệ thống phòng thủ ngừng hoạt động để thử nghiệm mạng, chúng đã đào đường hầm xuyên qua hệ thống kết nối mạng và đi vào các bộ phận bên trong. Sau đó, họ bắt đầu thu thập và lọc “dữ liệu quan trọng” từ sáu máy tính của nhân viên.

Trong một trường hợp khác bắt đầu vào khoảng tháng 2022 năm XNUMX, Andariel đã lấy được thông tin đăng nhập của một nhân viên của một công ty thực hiện bảo trì CNTT từ xa cho một trong những nhà thầu quốc phòng được đề cập. Bằng cách sử dụng tài khoản bị tấn công, nó đã lây nhiễm phần mềm độc hại vào máy chủ của công ty và đánh cắp dữ liệu liên quan đến công nghệ quốc phòng.

Cảnh sát cũng nhấn mạnh một vụ việc kéo dài từ tháng 2023 đến tháng XNUMX năm XNUMX, trong đó Kimsuky khai thác máy chủ email phần mềm nhóm được một công ty đối tác của một công ty quốc phòng sử dụng. Một lỗ hổng cho phép kẻ tấn công trái phép tải xuống các tệp lớn đã được gửi nội bộ qua email.

Dập tắt Lazarus

Bùi giải thích, lợi ích của chính quyền là “các nhóm DPRK như Lazarus thường xuyên sử dụng lại không chỉ phần mềm độc hại mà còn cả cơ sở hạ tầng mạng của họ, điều này có thể vừa là lỗ hổng vừa là điểm mạnh trong hoạt động của họ. Những thất bại của OPSEC và việc tái sử dụng cơ sở hạ tầng, kết hợp với các chiến thuật sáng tạo như xâm nhập vào các công ty, khiến chúng trở nên đặc biệt hấp dẫn để theo dõi.”

Thủ phạm đằng sau mỗi vi phạm phòng thủ đã được xác định nhờ phần mềm độc hại mà chúng triển khai sau xâm phạm — bao gồm các Trojan truy cập từ xa Nukesped và Tiger (RAT) — cũng như kiến ​​trúc và địa chỉ IP của chúng. Đáng chú ý, một số IP đó có nguồn gốc từ Thẩm Dương, Trung Quốc và cuộc tấn công năm 2014 nhằm vào Công ty Thủy điện & Điện hạt nhân Hàn Quốc.

Cơ quan Cảnh sát Quốc gia Hàn Quốc cho biết trong một tuyên bố: “Các nỗ lực tấn công mạng của Triều Tiên nhắm vào công nghệ quốc phòng dự kiến ​​sẽ tiếp tục”. Cơ quan này khuyến nghị các công ty quốc phòng và đối tác của họ nên sử dụng xác thực hai yếu tố và định kỳ thay đổi mật khẩu liên kết với tài khoản của họ, tách biệt nội bộ khỏi mạng bên ngoài và chặn quyền truy cập vào các tài nguyên nhạy cảm đối với các địa chỉ IP nước ngoài trái phép và không cần thiết.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.

Trò chuyện trực tiếp với chúng tôi (chat)

Chào bạn! Làm thế nào để tôi giúp bạn?