Nordkoreanska hackare tros vara involverade i brott mot sydkoreanska kärnkraftsinstitutet

Enligt rapporter var en högprofilerad nordkoreansk hackargrupp inblandad i ett säkerhetsbrott som drabbade ett kärnforskningsinstitut i Sydkorea.

Enligt information som lämnats av sydkoreanska parlamentsledamöter har det förekommit 13 fall av obehörig åtkomst från olika IP-adresser. Det komprometterade nätverket tillhörde KAERI eller det koreanska forskningsinstitutet för atomenergi.

Samma parlamentsledamot hävdade att en del av IP-adresserna som användes i fall av obehörig åtkomst tillhörde en enhet som heter Kimsuky. Kimsuky är handtaget som ges till en APT-grupp som tros verka från Nordkorea och att arbeta med hållare för den nordkoreanska regeringen. Hotaktörsgruppen tros tjäna en cyberspioneringsroll och samla intelligens från sina mål.

Rapporter nämner att samma hotgrupp också tros ligga bakom en kampanj som injicerar skadlig kod i dokument som handlar om södra lands svar på Covid-19-pandemin.

Representanter för forskningsinstitutet för atomenergi svarade på parlamentsledamotens påståenden och uppgav att ett "oidentifierat outsiderparti" endast hade tillgång till delar av sitt nätverk. Obehörig åtkomst utnyttjade en svaghet i VPN-programvaran som används av institutionen.

Det officiella uttalandet förklarade också att åtgärder har vidtagits för att ta itu med svagheten och att institutet samarbetar med sydkoreanska myndigheter för att avgöra exakt vilken enhet som stod bakom attacken, samt omfattningen av eventuella skador som kan ha orsakats.

ZDNet rapporterar att institutet inte svarade på några frågor om ytterligare kommentarer om händelsen.

Svagheter i VPN-nätverk som inte har flerfaktorautentisering eller uppvisar andra säkerhetsfel har lett till en av de största ransomware-attackerna de senaste månaderna. Ransomware-attacken mot Colonial Pipeline i USA utfördes tack vare hotaktörerna som fick tag på ett enda funktionellt VPN-lösenord.

Nordkoreanska Kimsuky APT var också skådespelaren bakom en cyberattack som genomfördes 2014, med inriktning på Sydkoreas kärnkrafts- och vattenkraftsanläggning, ett dotterbolag till landets största nationella elföretag.

Detta är bara den senaste händelsen i en lång kedja av attacker som vanligtvis tillskrivs nordkoreanska statssponserade hotaktörer som riktar sig till sydkoreanska institutioner och anläggningar.