Nordkoreanske hackere antas å være involvert i brudd på det sørkoreanske kjernefysiske instituttet

Ifølge rapporter var en høyprofilert nordkoreansk hackergruppe involvert i et sikkerhetsbrudd som rammet et atomforskningsinstitutt i Sør-Korea.

I henhold til informasjon som er gitt av sørkoreanske parlamentsmedlemmer, har det vært 13 tilfeller av uautorisert tilgang fra forskjellige IP-adresser. Det kompromitterte nettverket tilhørte KAERI eller det koreanske forskningsinstituttet for atomenergi.

Det samme parlamentsmedlemmet hevdet at en del av IP-adressene som ble brukt i tilfeller av uautorisert tilgang, tilhørte en enhet kalt Kimsuky. Kimsuky er håndtaket gitt til en APT-gruppe som antas å operere utenfor Nord-Korea og å jobbe med holderen for den nordkoreanske regjeringen. Trusselaktørgruppen antas å tjene en cyberspioneringsrolle og samle intelligens fra sine mål.

Rapporter nevner at den samme trusselgruppen også antas å stå bak en kampanje som injiserer skadelig programvare i dokumenter som omhandler sørlands svar på Covid-19-pandemien.

Representanter for forskningsinstituttet for atomenergi svarte på påstandene fra parlamentsmedlemmet og sa at et "uidentifisert utenforstående" parti bare fikk tilgang til deler av nettverket. Uautorisert tilgang utnyttet en svakhet i VPN-programvaren som ble brukt av institusjonen.

Den offisielle erklæringen erklærte også at det er tatt tiltak for å løse svakheten, og at instituttet samarbeider med sørkoreanske myndigheter for å fastslå den nøyaktige enheten som sto bak angrepet, samt omfanget av mulig skade som kan ha blitt påført.

ZDNet rapporterer at instituttet ikke svarte på noen henvendelser om ytterligere kommentarer til hendelsen.

Svakheter i VPN-nettverk som ikke har flerfaktorautentisering eller viser andre sikkerhetsfeil, har ført til et av de største ransomware-angrepene de siste månedene. Ransomware-angrepet på Colonial Pipeline i USA ble utført takket være at trusselaktørene fikk tak i et enkelt funksjonelt VPN-passord.

Nord-koreanske Kimsuky APT var også skuespilleren bak et cyberangrep utført i 2014, rettet mot Sør-Koreas atom- og vannkraftanlegg, et datterselskap av landets største nasjonale strømforsyning.

Dette er bare den siste hendelsen i en lang angrepskjede som ofte tilskrives nordkoreanske statsstøttede trusselaktører rettet mot sørkoreanske institusjoner og fasiliteter.