Шпионаж КНДР: арсенал Ким Чен Ына пополнился оборонными технологиями Южной Кореи

Полиция Южной Кореи предупредила о кибератаках со стороны северокорейских хакерских групп на предприятия оборонной промышленности с целью кражи ценной технологической информации.

Полиция зафиксировала несколько случаев успешных взломов оборонных компаний в Южной Корее, которые провели хакерские группы Lazarus, Andariel и Kimsuky, которые являются частью «северокорейского хакерского аппарата».

Согласно объявлению, злоумышленники внедрились в организации, используя уязвимости в средах целей или их субподрядчиков для установки вредоносного ПО, способного эксфильтровать данные.

Правоохранительные органы ранее провели специальную инспекцию с 15 января по 16 февраля и внедрили защитные меры для обеспечения безопасности критически важных сетей. В ходе операции были обнаружены многочисленные компании, которые подверглись компрометации с конца 2022 года, но не были осведомлены о нарушении до тех пор, пока власти не проинформировали их.

Полиция описала 3 случая атак, каждый из которых связан с упомянутыми хакерскими группами, в которых использовались разнообразные методы атак, направленные на кражу оборонных технологий.

• Lazarus использовала плохо управляемые системы сетевого соединения, предназначенные для тестирования, и проникли во внутренние сети оборонной компании с ноября 2022 года. После проникновения в сеть хакеры собрали критические данные, хранящиеся по крайней мере на шести компьютерах фирмы, и передали их на облачный сервер за границей.
• Andariel украла учетные данные аккаунта сотрудника компании, обслуживающей субподрядчиков оборонной отрасли. Используя украденный аккаунт в октябре 2022 года, киберпреступники установили вредоносное ПО на серверах субподрядчиков, что привело к утечкам оборонно-технических данных.
• Kimsuky использовала уязвимость в почтовом сервере субподрядчика между апрелем и июлем 2023 года, позволяя загружать объемные файлы без необходимости аутентификации. Недостаток был использована для загрузки и кражи технических данных с внутреннего сервера компании.

Корейская полиция рекомендует как оборонным компаниям, так и их субподрядчикам улучшить сегментацию сети, периодически сбрасывать пароли, настроить двухфакторную аутентификацию на всех критически важных аккаунтах и блокировать доступ из-за рубежа.