Güney Kore'deki Ulusal Polis Ajansı, bugün savunma endüstrisi kuruluşlarını hedefleyen Kuzey Kore hack grupları hakkında değerli teknoloji bilgilerini çalmaya acil bir uyarı yayınladı.
Polis, Güney Kore'de, Kuzey Kore hackleme aparatının bir parçası olan Lazarus, Andariel ve Kissuky'nin hack gruplarını içeren birkaç başarılı savunma şirketi örneğini keşfetti.
Duyuruya göre, saldırganlar kuruluşları, verileri yaymak için yetenekli kötü amaçlı yazılımlar tesis etmek için hedeflerdeki veya alt yüklenicilerin ortamlarında güvenlik açıklarından yararlanarak ihlal ettiler.
Ulusal Polis Ajansı ve Savunma Edinme Programı İdaresi, bu yılın başlarında 15 Ocak ve 16 Şubat arasında özel bir denetim gerçekleştirdi ve kritik ağları güvence altına almak için koruyucu önlemler uyguladı.
Bu özel operasyon, 2022'nin sonlarından beri tehlikeye atılan ancak yetkililer onları bilgilendirene kadar ihlalden habersiz olan birden fazla şirket keşfetti.
Polis raporu, savunma teknolojisini çalmayı amaçlayan çok yönlü saldırı yöntemleri sergileyen, söz konusu hack gruplarının her birini içeren üç vakayı vurgulamaktadır.
Lazarus hackerları, test için tasarlanmış kötü yönetilen ağ bağlantı sistemlerinden yararlandı ve Kasım 2022'den beri bir savunma şirketinin dahili ağlarına nüfuz etti.
Ağa sızdıktan sonra, firmanın bilgisayarlarının en az altısında depolanan kritik verileri topladılar ve yurtdışındaki bir bulut sunucusuna aktardılar.
İkinci saldırı, savunma taşeronlarına hizmet veren bir bakım şirketinin çalışanından hesap bilgilerini çalan Andariel Grubuna atfedildi.
Bu çalınan hesabı Ekim 2022'de kullanarak, bu taşeronların sunucularına kötü amaçlı yazılım yüklediler ve savunma ile ilgili teknik verilerin önemli sızıntılarına yol açtılar.
Bu ağ infiltrasyonu, kişisel ve iş hesapları için aynı şifreleri kullanan çalışanlar tarafından daha da kötüleşmiştir.
Polisin danışmanlığında vurgulanan üçüncü bir saldırı olan Kimsuky, Nisan ve Temmuz 2023 arasında bir savunma taşeronunun e -posta sunucusunda bir güvenlik açığından yararlandı ve bu da büyük dosyaların kimlik doğrulaması gerekmeden indirilmesine izin verdi.
Bu güvenlik açığı, şirketin dahili sunucusundan önemli teknik verileri indirmek ve çalmak için kullanıldı.
Kore polisi, hem savunma şirketlerine hem de taşeronlarına ağ güvenliği segmentasyonunu, periyodik şifre sıfırlamalarını, tüm kritik hesaplarda iki faktörlü kimlik doğrulama oluşturmasını ve yabancı IP erişimlerini engellemelerini önerir.
Frontier Communications, Siber Attack'ten Sonra Sistemleri Kapatır
Cisco Duo, üçüncü taraf veri ihlalini açıklayan SMS MFA günlüklerini uyarıyor
Fujitsu BT sistemlerinde kötü amaçlı yazılım buldu, veri ihlalini onaylıyor
Kuzey Kore, mühendislik verilerini çalmak için iki Güney Koreli çip firmasını hackliyor
UnitedHealth, veri sızıntısını durdurmak için fidye yazılımı çetesi ödediğini doğruladı
Kaynak: Bleeping Computer