Считается, что северокорейские хакеры причастны к взлому Южнокорейского ядерного института
По имеющимся данным, известная северокорейская хакерская группа была причастна к нарушению безопасности, затронувшей ядерный исследовательский институт, расположенный в Южной Корее.
Согласно информации, обнародованной членами парламента Южной Кореи, было зарегистрировано 13 случаев несанкционированного доступа с разных IP-адресов. Взломанная сеть принадлежала KAERI или Корейскому научно-исследовательскому институту атомной энергии.
Тот же член парламента утверждал, что часть IP-адресов, используемых в случаях несанкционированного доступа, принадлежала организации под названием Kimsuky. Кимсуки - это ручка, переданная группе APT, которая, как полагают, действует за пределами Северной Кореи и работает в качестве гонорара для правительства Северной Кореи. Считается, что группа злоумышленников выполняет роль кибершпионажа и собирает информацию о своих целях.
В отчетах упоминается, что та же группа угроз, как полагают, стоит за кампанией по внедрению вредоносного ПО в документы, касающиеся реакции южной страны на пандемию Covid-19.
Представители НИИ атомной энергетики ответили на претензии депутата, заявив, что партия «неустановленного постороннего лица» получила доступ только к частям своей сети. Для несанкционированного доступа использовалась слабость программного обеспечения VPN, используемого учреждением.
В официальном заявлении также говорится, что были приняты меры для устранения уязвимости, и институт работает с властями Южной Кореи, чтобы определить точное лицо, стоящее за атакой, а также масштаб любого возможного ущерба, который мог быть нанесен.
Как сообщает ZDNet, институт не ответил на запросы о дальнейших комментариях по поводу инцидента.
Слабые стороны сетей VPN, которые не имеют многофакторной аутентификации или демонстрируют некоторые другие недостатки безопасности, привели к одной из крупнейших атак программ-вымогателей за последние месяцы. Атака программ-вымогателей на Colonial Pipeline в США была осуществлена благодаря тому, что злоумышленники заполучили единый функциональный пароль VPN.
Северокорейский APT Kimsuky также был виновником кибератаки, осуществленной в 2014 году, на ядерный и гидроэнергетический объект Южной Кореи, дочернее предприятие крупнейшей национальной электроэнергетической компании страны.
Это всего лишь последний инцидент в длинной цепочке атак, которые обычно приписывают северокорейским государственным субъектам угроз, нацеленных на южнокорейские учреждения и объекты.