Κρατικοί hackers από τη Βόρεια Κορέα φαίνεται να βρίσκονται πίσω από μια εκστρατεία κυβερνοκατασκοπείας, που στοχεύει τον αμυντικό τομέα around the world.
Σε κοινή ανακοίνωση που δημοσιεύθηκε από αρχές της Γερμανίας και της Νότιας Κορέας, αναφέρθηκε ότι στόχος των επιθέσεων είναι να λεηλατήσουν προηγμένες αμυντικές technologies με “οικονομικό” τρόπο.
“Το καθεστώς χρησιμοποιεί τις στρατιωτικές technologies για τον εκσυγχρονισμό και τη βελτίωση της απόδοσης των συμβατικών όπλων και για την ανάπτυξη νέων στρατηγικών οπλικών συστημάτων, συμπεριλαμβανομένων βαλλιστικών πυραύλων, δορυφόρων αναγνώρισης και υποβρυχίων“, σημείωσαν the services.
The hackers Lazarus της Βόρειας Κορέας έχουν κατηγορηθεί για ένα από τα δύο hacking περιστατικά, τα οποία αφορούσαν τη χρήση social engineering για επιθέσεις στον αμυντικό τομέα. Αυτό το περιστατικό αποτελεί μέρος μιας μακροχρόνιας επιχείρησης που ονομάζεται Dream Job και έχει ξεκινήσει από τον Αύγουστο του 2020.
See also: UN: North Korea's cyber attacks raised $ 3 billion for nuclear development
Σε αυτές τις επιθέσεις, οι hackers είτε δημιουργούν ένα ψεύτικο προφίλ είτε αξιοποιούν νόμιμα αλλά παραβιασμένα προφίλ σε πλατφόρμες όπως το LinkedIn. Με αυτόν τον τρόπο, προσεγγίζουν πιθανούς στόχους, προσπαθούν να δημιουργήσουν μια σχέση εμπιστοσύνης μαζί τους και έπειτα προσφέρουν ενδιαφέρουσες θέσεις εργασίας και μεταφέρουν τη συζήτηση σε άλλες εφαρμογές ανταλλαγής μηνυμάτων, όπως το WhatsApp.
Στη συνέχεια, τα θύματα λαμβάνουν υποτιθέμενα έγγραφα που σχετίζονται με τη θέση Labour, αλλά περιέχουν κακόβουλο λογισμικό και μολύνουν τις συσκευές.
“Οι Lazarus hackers της Βόρειας Κορέας άλλαζαν τα εργαλεία του καθ’ όλη τη διάρκεια της εκστρατείας εναντίον του αμυντικού τομέα και έδειξαν περισσότερες από μία φορές ότι είναι σε θέση να αναπτύξουν ό,τι είναι απαραίτητο για να ταιριάζει στην κατάσταση“.
Η δεύτερη επίθεση κατασκοπείας αφορά εισβολή σε ερευνητικό κέντρο άμυνας προς τα τέλη του 2022.
“Ο επιτιθέμενος διείσδυσε στην ερευνητική εγκατάσταση αναπτύσσοντας malware απομακρυσμένου ελέγχου, μέσω ενός συστήματος διαχείρισης ενημερώσεων κώδικα (PMS) του ερευνητικού κέντρου. Έπειτα, έκλεψε διάφορες πληροφορίες λογαριασμών και περιεχομένου email“, ανέφεραν οι υπηρεσίες.
See also: Kimsuky: New Troll Stealer threat targets South Korea
Η παραβίαση αυτή έγινε από κάποια άλλη hacking ομάδα από Βόρεια Κορέα, και περιελάμβανε πέντε στάδια:
- Παραβίαση web server, κλοπή SSH credentials και απόκτηση απομακρυσμένης πρόσβασης στον διακομιστή του ερευνητικού κέντρου
- Λήψη πρόσθετων κακόβουλων εργαλείων
- Πραγματοποίηση lateral movement και κλοπή credentials λογαριασμού υπαλλήλων
- Χρήση των κλεμμένων πληροφοριών του λογαριασμού διαχειριστή για διανομή μιας trojanized ενημέρωσης, που επιτρέπει αποστολή και λήψη αρχείων, εκτέλεση κώδικα και συλλογή πληροφοριών συστήματος
- Παραμονή μέσα στο περιβάλλον του στόχου και ανάπτυξη ενός web shell για απομακρυσμένη πρόσβαση και αποστολή spear-phishing emails
“Οι επιτιθέμενοι απέφυγαν να πραγματοποιήσουν απευθείας επίθεση εναντίον του στόχου, ο οποίος διατηρούσε υψηλό επίπεδο ασφάλειας, αλλά έκανε μια αρχική επίθεση εναντίον προμηθευτή του“, εξήγησαν τα πρακτορεία.
See also: Hacking Group from North Korea Intercepts Data
Τα παραπάνω περιστατικά δείχνουν ότι οι hackers της Βόρειας Κορέας έχουν αναπτύξει μια σειρά από cyber attacks που απειλούν τον παγκόσμιο αμυντικό τομέα. Αυτές οι επιθέσεις περιλαμβάνουν την εκμετάλλευση των αδυναμιών των υπολογιστικών συστημάτων, την κλοπή credentials και άλλες μεθόδους για την παραβίαση των αμυντικών δικτύων και την κλοπή ευαίσθητων πληροφοριών.
In addition, the cyber attacks της Βόρειας Κορέας μπορούν να προκαλέσουν σημαντικές διακοπές στις λειτουργίες του αμυντικού τομέα. Αυτό μπορεί να περιλαμβάνει την παρεμπόδιση της επικοινωνίας, την καταστροφή των συστημάτων ελέγχου ή την αναστολή των λειτουργιών των όπλων.
Τέλος, οι κυβερνοεπιθέσεις της Βόρειας Κορέας μπορούν να χρησιμοποιηθούν για την εξαπάτηση των αμυντικών δυνάμεων, δημιουργώντας ψευδείς στόχους ή παραπλανητικές πληροφορίες. Αυτό μπορεί να οδηγήσει σε λανθασμένες στρατιωτικές αποφάσεις και να αυξήσει τον κίνδυνο σύγκρουσης.
Source: thehackernews.com
