De belangrijkste geavanceerde aanhoudende bedreigingen (APT's) van Noord-Korea bespioneren al minstens anderhalf jaar stilletjes Zuid-Koreaanse defensie-aannemers en infiltreren zo'n tien organisaties.
De Zuid-Koreaanse politie is deze week vrijgelaten de bevindingen van een onderzoek die gelijktijdige spionagecampagnes aan het licht brachten die werden uitgevoerd door andariel (ook bekend als Onyx Sleet, Silent Chollima, Plutonium), kimsuky (ook bekend als APT 43, Thallium, Velvet Chollima, Black Banshee) en de bredere Lazarus Group. De politie heeft de namen van de slachtofferbeschermingsorganisaties niet genoemd en heeft ook geen details verstrekt over de gestolen gegevens.
De aankondiging komt een dag nadat Noord-Korea zijn actie heeft uitgevoerd allereerste oefening die een nucleaire tegenaanval simuleert.
APT's uit de DVK blijven bestaan
Weinig landen zijn zich zo bewust van de cyberdreigingen van buitenlandse natiestaten als Zuid-Korea, en weinig industrieën zijn zich zo bewust van de militaire en defensiesector. En toch: Kim's beste lijkt altijd een weg te vinden.
“APT-bedreigingen, vooral die welke worden aangestuurd door actoren op staatsniveau, zijn notoir moeilijk volledig af te schrikken”, klaagt de heer Ngoc Bui, cybersecurity-expert bij Menlo Security. “Als een APT of acteur zeer gemotiveerd is, zijn er weinig barrières die uiteindelijk niet kunnen worden overwonnen.”
In november 2022 richtte Lazarus zich bijvoorbeeld op een aannemer die voldoende cyberbewust was om afzonderlijke interne en externe netwerken te exploiteren. De hackers maakten echter misbruik van hun nalatigheid bij het beheren van het systeem dat de twee met elkaar verbond. Ten eerste hebben de hackers een externe netwerkserver gehackt en geïnfecteerd. Terwijl de verdediging uitviel voor een netwerktest, tunnelden ze door het netwerkverbindingssysteem naar de ingewanden. Vervolgens begonnen ze ‘belangrijke gegevens’ te verzamelen en te exfiltreren van de computers van zes werknemers.
In een ander geval dat rond oktober 2022 begon, verkreeg Andariel inloggegevens van een medewerker van een bedrijf dat IT-onderhoud op afstand uitvoerde voor een van de defensiecontractanten in kwestie. Met behulp van het gekaapte account infecteerde het de servers van het bedrijf met malware en werden gegevens met betrekking tot defensietechnologieën geëxfiltreerd.
De politie bracht ook een incident onder de aandacht dat duurde van april tot juli 2023, waarbij Kimsuky misbruik maakte van de groupware-e-mailserver die werd gebruikt door het partnerbedrijf van een defensiebedrijf. Door een kwetsbaarheid konden ongeautoriseerde aanvallers grote bestanden downloaden die intern via e-mail waren verzonden.
Lazarus uitroeien
Van nut voor de autoriteiten, legt Bui uit, is dat “DPRK-groepen zoals Lazarus vaak niet alleen hun malware hergebruiken, maar ook hun netwerkinfrastructuur, wat zowel een kwetsbaarheid als een kracht in hun activiteiten kan zijn. Hun OPSEC-mislukkingen en hergebruik van infrastructuur, gecombineerd met innovatieve tactieken zoals het infiltreren van bedrijven, maken ze bijzonder intrigerend om te monitoren.”
De daders achter elk van de inbreuken op de verdediging werden geïdentificeerd dankzij de malware die ze na het compromitteren hadden ingezet – waaronder de Nukesped en Tiger Remote Access Trojans (RAT’s) – en hun architectuur en IP-adressen. Sommige van die IP’s waren met name terug te voeren op Shenyang, China, en een aanval uit 2014 op de Korea Hydro & Nuclear Power Co.
“De Noord-Koreaanse hackpogingen gericht op defensietechnologie zullen naar verwachting doorgaan”, aldus de Koreaanse Nationale Politie in een verklaring. Het agentschap beveelt defensiebedrijven en hun partners aan om tweefactorauthenticatie te gebruiken en periodiek de wachtwoorden te wijzigen die aan hun accounts zijn gekoppeld, interne en externe netwerken af te sluiten en de toegang tot gevoelige bronnen voor ongeautoriseerde en onnodige buitenlandse IP-adressen te blokkeren.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/cyberattacks-data-breaches/north-korea-apt-triumvirate-spied-on-south-korean-defense-industry-for-years
