Az észak-koreai bemutatott fejlett tartós fenyegetések (APT) már legalább másfél éve csendesen kémkednek dél-koreai védelmi vállalkozók után, mintegy 10 szervezetbe beszivárogva.
A dél-koreai rendőrség a héten szabadult egy vizsgálat megállapításait által folytatott egyidejű kémhadjáratokat tárt fel andariel (más néven Onyx Sleet, Silent Chollima, Plutonium), kimsuky (más néven APT 43, Tallium, Velvet Chollima, Black Banshee), és a tágabb értelemben vett Lazarus Group. A bűnüldöző szervek nem nevezték meg az áldozatvédelmi szervezeteket, és nem közöltek részleteket az ellopott adatokról.
A bejelentés egy nappal azután érkezett, hogy Észak-Korea végrehajtotta a döntését az első nukleáris ellentámadást szimuláló gyakorlat.
A KNDK APT-k továbbra is fennállnak
Kevés ország van annyira tisztában a külföldi nemzetállamok kiberfenyegetéseivel, mint Dél-Korea, és kevés iparág ismeri annyira a katonai és védelmi kérdéseket. És mégis, Kim a legjobb mindig megtalálja a módját.
„Az APT-fenyegetéseket, különösen azokat, amelyeket állami szintű szereplők hajtanak, köztudottan nehéz teljesen elriasztani” – sajnálja Ngoc Bui úr, a Menlo Security kiberbiztonsági szakértője. "Ha egy APT vagy egy színész erősen motivált, kevés akadály van, amelyet végül ne lehetne legyőzni."
2022 novemberében például a Lazarus egy olyan vállalkozót vett célba, aki eléggé kibertudatos volt ahhoz, hogy külön belső és külső hálózatokat üzemeltethessen. A hackerek azonban kihasználták hanyagságukat a kettőjüket összekötő rendszer kezelésében. Először is, a hackerek feltörtek és megfertőztek egy külső hálózati szervert. Miközben a védelem leállt a hálózati teszt miatt, áthaladtak a hálózati csatlakozási rendszeren és a belsőségekbe. Ezután elkezdték begyűjteni és kiszűrni a „fontos adatokat” hat alkalmazott számítógépéről.
Egy másik, 2022 októbere körül kezdődő ügyben Andariel megszerezte egy olyan vállalat alkalmazottjának bejelentkezési adatait, amely távoli informatikai karbantartást végzett az egyik szóban forgó védelmi vállalkozónak. A feltört fiók segítségével rosszindulatú programokkal fertőzte meg a cég szervereit, és védelmi technológiákkal kapcsolatos adatokat szivárogtatott ki.
A rendőrség kiemelt egy 2023 áprilisától júliusig tartó incidenst is, amelyben Kimsuky kihasználta az egyik védelmi cég partnercége által használt csoportmunka e-mail szervert. A biztonsági rés lehetővé tette az illetéktelen támadók számára, hogy nagy fájlokat töltsenek le, amelyeket belsőleg e-mailben küldtek el.
Lázár elpusztítása
A hatóságok számára hasznos, Bui elmagyarázza, hogy „a KNDK-csoportok, mint például a Lazarus, gyakran nem csak a rosszindulatú programjaikat használják fel újra, hanem a hálózati infrastruktúrájukat is, ami egyben sebezhetőséget és erősséget jelenthet működésükben. Az OPSEC hibáik és az infrastruktúra újrafelhasználása, valamint az olyan innovatív taktikák, mint például a vállalatokba való beszivárgás, különösen érdekessé teszik a megfigyelésüket.”
Az egyes védelmi incidensek elkövetőit a kompromittálás után telepített rosszindulatú programoknak – köztük a Nukesped és a Tiger távelérési trójaiknak (RAT) –, valamint architektúrájuknak és IP-címeiknek köszönhetően azonosították. Nevezetesen, néhány IP-cím a kínai Shenyangból és a Korea Hydro & Nuclear Power Co. elleni 2014-es támadásból származik.
"Észak-Korea védelmi technológiát célzó hackelési kísérletei várhatóan folytatódni fognak" - áll a Koreai Nemzeti Rendőrség közleményében. Az ügynökség azt javasolja a védelmi cégeknek és partnereiknek, hogy használjanak kétfaktoros azonosítást, és időszakonként változtassák meg a fiókjukhoz tartozó jelszavakat, zárják el a belső hálózatokat a külső hálózatoktól, és blokkolják az érzékeny erőforrásokhoz való hozzáférést a jogosulatlan és szükségtelen külföldi IP-címek számára.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cyberattacks-data-breaches/north-korea-apt-triumvirate-spied-on-south-korean-defense-industry-for-years
