Północnokoreańscy hakerzy uderzają w atom

Północnokoreańscy hakerzy wykorzystali lukę w zabezpieczeniach VPN, aby włamać się do południowokoreańskiego instytutu odpowiedzialnego za prowadzenie badań nad energią atomową. Incydent został potwierdzony przez zaatakowaną organizację. Na ten moment nie jest jasne, jaka luka została wykorzystana przez hakerów.

Po włamaniu, do którego miało dojść 14 maja br., instytucja poinformowała, że podjęła kroki w celu zablokowania adresów IP atakujących i zastosowała niezbędne łatki bezpieczeństwa do podatnego na ataki rozwiązania VPN.

Jak udało się ustalić, atakujący został zidentyfikowany jako należący do grupy Kimsuky. Grupa ta jest już znana opinii publicznej - zdaniem Agencji ds. Cyberbezpieczeństwa i Infrastruktury (CISA), Federalnego Biura Śledczego (FBI) oraz U.S. Cyber Command Cyber National Mission Force otrzymał od rządu w Pjongjangu zlecenie przeprowadzenia globalnej misji wywiadowczej. Działania prowadzone przez członków grupy przynajmniej od 2012 roku wymierzone są w ogólnoświatowe cele i skupione są - jak informują amerykańskie agendy - na pozyskiwaniu informacji na potrzeby rządu Korei Północnej. 

Jak informowaliśmy w październiku ubiegłego roku, w ramach działań grupa skupia się przede wszystkim na taktyce inżynierii społecznej, phishingu profilowanego czy za pomocą metody tzw. wodopoju (watering hole attacks). W ramach swoich aktywności, grupa pisała maile do swoich ofiar, które miały pozyskiwać ich zaufanie np. poprzez podszywanie się pod dziennikarzy i kierowanie próśb o udzielenie wywiadu. Po tym jak ofiara zgodziła się na udzielenie wywiadu, hakerzy wysyłali kolejną wiadomość z zainfekowanym załącznikiem. Temat rozmowy był dobierany pod ofiarę i był zgodny z tematami „na topie”.

Sprawa ataku na Korea Atomic Energy Research Institut stała się medialna po tym jak po publikacji w serwisie SISA Journal szeregowy pracownik zaprzeczył doniesieniom medialnym. Instytut przeprosił za błąd w komunikacji w opublikowanym oświadczeniu.