Severná Kórea využila chybu VPN na hacknutie Inštitútu jadrového výskumu na juhu

Juhokórejský štátny Kórejský inštitút pre výskum atómovej energie (KAERI) v piatok zverejnil, že jeho internú sieť infiltrovali podozriví útočníci operujúci z jeho severného náprotivku.

K prieniku údajne došlo 14. mája prostredníctvom zraniteľnosti nemenovaného dodávateľa virtuálnej súkromnej siete (VPN) a zahŕňalo celkovo 13 IP adries, z ktorých jedna — „27.102.114[.]89″ — bol už v minulosti spájaný so štátom sponzorovaným hroziacim aktérom s názvom Kimsuky.

KAERI, založená v roku 1959 a nachádza sa v meste Daejeon, je vládou financovaný výskumný ústav, ktorý navrhuje a vyvíja jadrové technológie súvisiace s reaktormi, palivovými tyčami, radiačnou fúziou a jadrovou bezpečnosťou.

Po vniknutí think tank uviedol, že podnikol kroky na zablokovanie predmetných IP adries útočníka a použil potrebné bezpečnostné záplaty na zraniteľné riešenie VPN. “Výskumný ústav atómovej energie v súčasnosti vyšetruje predmet hacknutia a výšku škody,” uviedol subjekt vo vyhlásení.

Tento vývoj prichádza po správe SISA Journal, ktorá odhalila porušenie a tvrdila, že agentúra sa pokúšala zakryť hack tým, že poprela, že k takémuto incidentu došlo. KAERI to pripísalo „chybe v reakcii zamestnancov na pracovnej úrovni“.

Kimsuky (aka Velvet Chollima, Black Banshee alebo Thallium), aktívny od roku 2012, je severokórejský aktér hrozieb známy svojimi kyberšpionážnymi kampaňami zameranými na think-tanky a prevádzkovateľov jadrových elektrární v Južnej Kórei.

Začiatkom tohto mesiaca zverejnila kybernetická bezpečnostná firma Malwarebytes vlnu útokov, ktoré protivník podnikol s cieľom zasiahnuť vysokopostavených vládnych predstaviteľov v krajine inštaláciou systému Android a Windows backdoor s názvom AppleSeed na zhromažďovanie cenných informácií.

Cieľovými subjektmi boli ministerstvo zahraničných vecí, veľvyslanec Veľvyslanectva Srí Lanky v štáte, dôstojník pre jadrovú bezpečnosť Medzinárodnej agentúry pre atómovú energiu (MAAE) a zástupca generálneho konzula na kórejskom generálnom konzuláte v Hongkongu s vyššie uvedenou IP adresou používa sa na komunikáciu príkazov a riadenia (C2).

Nie je bezprostredne jasné, aká zraniteľnosť VPN bola zneužitá na prelomenie siete. Ale stojí za zmienku, že neopravené VPN systémy od Pulse Secure, SonicWall, Fortinet FortiOS a Citrix boli v posledných rokoch vystavené útokom viacerých aktérov hrozieb.