Agência nuclear da Coreia do Sul é hackeada por falha em VPN

Agência nuclear da Coreia do Sul é hackeada por falha em VPN

O Instituto de Pesquisa de Energia Atômica da Coréia do Sul (o KAERI) divulgou, no dia 18 de junho, que suas redes internas foram hackeadas por crackers norte-coreanos, que se aproveitaram de uma vulnerabilidade em sua VPN.

O KAERI é um instituto patrocinado pelo governo para a pesquisa e aplicação de energia nuclear na Coreia do Sul.

A violação foi relatada pela primeira vez neste mês, quando jornalistas sul-coreanos do Sisa Journal começaram a cobrir o caso. Na época, o instituto inicialmente confirmou, mas depois negou que o ataque cibernético tivesse ocorrido.

Mas, em nota — e também por meio de entrevista coletiva realizada na semana passada —, o KAERI confirmou, oficialmente, a veracidade da invasão e se desculpou por tentar encobrir o incidente.

Autoria é atribuída a agentes de ameaça norte-coreanos

O instituto afirma que o ataque ocorreu em 14 de junho, depois que agentes de ameaça da Coreia do Norte violaram sua rede interna ao tirar proveito de uma falha em sua VPN.

O KAERI enfatiza que atualizou o dispositivo VPN não divulgado para corrigir a vulnerabilidade. No entanto, os registros de acesso mostram que treze endereços IP não autorizados diferentes obtiveram acesso à rede interna por meio da VPN.

Um desses endereços de IP está ligado a um grupo de hackers patrocinado pelo estado norte-coreano, conhecido como Kimsuky, que supostamente trabalha sob a responsabilidade da agência de inteligência da Coreia do Norte, a Reconnaissance General Bureau.

Em outubro de 2020, a CISA emitiu um alerta sobre o grupo Kimsuky e afirmou que eles são “provavelmente encarregados pelo regime norte-coreano de uma missão de coleta de inteligência global”.

Mais recentemente, a Malwarebytes publicou um relatório sobre como o Kimsuky (também conhecido como Thallium, Black Banshee e Velvet Chollima) tem almejado ativamente o governo sul-coreano usando o backdoor ‘AppleSeed’ em ataques de phishing.

“Uma das iscas usadas pelos hackers tinha o nome de ‘외교부 가판 2021-05-07’ na língua coreana (traduzido como ‘Edição do Ministério das Relações Exteriores 2021-05-07’) — o que indica que a isca foi projetada para atingir o próprio Ministério das Relações Exteriores da Coreia do Sul”, explica o relatório da Malwarebytes sobre as atividades recentes dos atores de ameaça.

“De acordo com os dados que coletamos, identificamos que se trata de uma entidade de grande interesse para o Kimsuky.”

A Malwarebytes afirma que o Kimsuky teve como alvo outras agências e também agentes governamentais sul-coreanos em recentes ataques de phishing, incluindo:

  • O Ministério das Relações Exteriores – 1º Secretário da República da Coreia;
  • O Ministério das Relações Exteriores – 2º Secretário da República da Coreia;
  • O Ministro do Comércio;
  • O Vice-Cônsul Geral no Consulado Geral da Coreia em Hong Kong;
  • O Oficial de Segurança Nuclear da Agência Internacional de Energia Atômica (AIEA);
  • O Embaixador Embaixada do Sri Lanka junto ao Estado;
  • O Conselheiro do Ministério das Relações Exteriores e Comércio;

O KAERI afirma que ainda está investigando o ciberataque para confirmar quais informações foram acessadas.

Tradução por: Daniel Henrique

Link original

 

Missão: Firewall como negócio

Seja um Parceiro Starti