Nordkoreas premiär avancerade ihållande hot (APT) har i tysthet spionerat på sydkoreanska försvarsentreprenörer i minst ett och ett halvt år och infiltrerat ett tiotal organisationer.
Sydkoreansk polis släpptes i veckan resultaten av en utredning som avslöjade samtidiga spionagekampanjer utförda av andariel (aka Onyx Sleet, Silent Chollima, Plutonium), kimsuky (alias APT 43, Thallium, Velvet Chollima, Black Banshee), och den bredare Lazarus Group. Brottsbekämpande myndigheterna namngav inte offrets försvarsorganisationer och gav inte heller detaljer om de stulna uppgifterna.
Beskedet kommer en dag efter att Nordkorea genomförde sitt första övningen någonsin som simulerar en kärnvapenmotattack.
DPRK APTs kvarstår
Få länder är så medvetna om cyberhot från utländska nationalstater som Sydkorea, och få industrier så medvetna som militär och försvar. Och ändå, Kims bästa verkar alltid hitta ett sätt.
"APT-hot, särskilt de som drivs av aktörer på statlig nivå, är notoriskt svåra att helt avskräcka", beklagar Ngoc Bui, cybersäkerhetsexpert på Menlo Security. "Om en APT eller skådespelare är mycket motiverad, finns det få hinder som inte kan övervinnas till slut."
I november 2022, till exempel, riktade Lazarus sig mot en entreprenör som var tillräckligt cybermedveten för att driva separata interna och externa nätverk. Hackarna utnyttjade dock sin försumlighet när de hanterade systemet som förbinder de två. Först bröt hackarna in och infekterade en extern nätverksserver. Medan försvar var nere för ett nätverkstest, tunnlade de genom nätverksanslutningssystemet och in i inälvorna. De började sedan skörda och exfiltrera "viktig data" från sex anställdas datorer.
I ett annat fall som började omkring oktober 2022 fick Andariel inloggningsuppgifter som tillhörde en anställd på ett företag som utförde IT-distansunderhåll åt en av försvarsentreprenörerna i fråga. Med hjälp av det kapade kontot infekterade det företagets servrar med skadlig programvara och exfiltrerade data relaterade till försvarsteknik.
Polisen lyfte också fram en incident som varade från april till juli 2023, där Kimsuky utnyttjade e-postservern för gruppprogram som används av ett försvarsföretags partnerföretag. En sårbarhet gjorde det möjligt för obehöriga angripare att ladda ner stora filer som hade skickats internt via e-post.
Snuffar ut Lazarus
Till nytta för myndigheter, förklarar Bui, är att "DPRK-grupper som Lazarus ofta återanvänder inte bara sin skadliga programvara utan också sin nätverksinfrastruktur, vilket kan vara både en sårbarhet och en styrka i deras verksamhet. Deras OPSEC-misslyckanden och återanvändning av infrastruktur, i kombination med innovativ taktik som att infiltrera företag, gör dem särskilt spännande att övervaka.”
Gärningsmännen bakom vart och ett av försvarsintrången identifierades tack vare den skadliga programvara de distribuerade efter kompromissen – inklusive Nukesped och Tiger fjärråtkomsttrojaner (RAT) – såväl som deras arkitektur och IP-adresser. Noterbart är att några av dessa IP:er spårades till Shenyang, Kina, och en attack 2014 mot Korea Hydro & Nuclear Power Co.
"Nordkoreas hackningsförsök riktade mot försvarsteknologi förväntas fortsätta", sade den koreanska nationella polismyndigheten i ett uttalande. Byrån rekommenderar att försvarsföretag och deras partners använder tvåfaktorsautentisering och med jämna mellanrum byter lösenord kopplade till sina konton, spärrar av internt från externa nätverk och blockerar åtkomst till känsliga resurser för obehöriga och onödiga utländska IP-adresser.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/cyberattacks-data-breaches/north-korea-apt-triumvirate-spied-on-south-korean-defense-industry-for-years
