Minaccia persistente: APT della Corea del Nord spiano le aziende difensive sudcoreane
Le principali minacce persistenti della Corea del Nord hanno silenziosamente spiato i contractor della difesa sudcoreana per almeno un anno e mezzo, infiltrando circa 10 organizzazioni.
La polizia sudcoreana ha reso pubblici questa settimana i risultati di un’indagine che ha scoperto campagne di spionaggio simultanee condotte da Andariel (aka Onyx Sleet, Silent Chollima, Plutonium), Kimsuky (aka APT 43, Thallium, Velvet Chollima, Black Banshee), e il più ampio gruppo Lazarus. Le forze dell’ordine non hanno nominato le organizzazioni difensive vittime né fornito dettagli sui dati rubati.
L’annuncio arriva un giorno dopo che la Corea del Nord ha condotto per la prima volta un’esercitazione simulata di controattacco nucleare.
Persistenza delle APT della Corea del Nord:
Pochi paesi sono così consapevoli delle minacce informatiche da stati esteri quanto la Corea del Sud, e poche industrie sono così consapevoli quanto la loro militare e della difesa. Eppure, i migliori di Kim sembrano sempre trovare un modo.
Le minacce APT, in particolare quelle guidate da attori di livello statale, sono notoriamente difficili da evitarecompletamente.
Se un APT o un threat actor è altamente motivato, ci sono poche barriere che non possono essere alla fine superate.
Ad esempio, a novembre 2022, Lazarus ha preso di mira un contractor che era sufficientemente consapevole delle minacce informatiche da gestire reti interne ed esterne separate. Tuttavia, gli hacker hanno approfittato della negligenza nella gestione del sistema che connetteva le due reti. In primo luogo, gli hacker hanno violato e infettato un server di rete esterna. Mentre le difese erano abbassate per un test di rete, hanno bypassato il sistema di connessione di rete e sono penetrati all’interno. Hanno quindi iniziato a raccogliere ed estrarre “dati importanti” da sei computer degli impiegati.
In un altro caso iniziato circa nell’ottobre 2022, Andariel ha ottenuto le credenziali di accesso di un dipendente di un’azienda che eseguiva la manutenzione remota dell’IT per uno dei contraenti della difesa in questione. Utilizzando l’account rubato, ha infettato i server dell’azienda con malware ed ha estratto dati relativi alle tecnologie della difesa.
La polizia ha anche evidenziato un incidente che è durato da aprile a luglio 2023, in cui Kimsuky ha sfruttato il server di posta elettronica del utilizzato da una società partner di una società difensiva. Una vulnerabilità ha permesso agli attaccanti non autorizzati di scaricare grandi file che erano stati inviati internamente via e-mail.
E’ possibile tenere a bada gruppi come Lazarus?
I gruppi come Lazarus riutilizzano frequentemente non solo il loro malware ma anche la loro infrastruttura di rete, che può essere sia una vulnerabilità che una forza nelle loro operazioni. I loro fallimenti in materia di OPSEC e il riutilizzo dell’infrastruttura, combinati con tattiche innovative come l’infiltrazione nelle aziende, li rendono particolarmente complessi da monitorare.
I responsabili di ciascuna delle violazioni della difesa sono stati identificati grazie al malware che hanno distribuito post-compromissione – tra cui i Trojan a distanza Nukesped e Tiger (RATs) – oltre alla loro architettura interna e agli indirizzi IP. È da notare che alcuni di quegli IP risalgono a Shenyang, in Cina, e a un attacco del 2014 contro la Korea Hydro & Nuclear Power Co.
“Si prevede che i tentativi di hacking della Corea del Nord mirati alla tecnologia della difesa continueranno,” ha detto la Korean National Police Agency in una dichiarazione. L’agenzia raccomanda alle aziende della difesa e ai loro partner di utilizzare l’autenticazione a due fattori e di cambiare periodicamente le password associate ai loro account, di separare le reti interne da quelle esterne e di bloccare l’accesso alle risorse sensibili per gli indirizzi IP stranieri non autorizzati e non necessari.
Okta Compromise Connection:
The incident at Cloudflare is linked to the larger Okta-related supply-chain campaign. In October, Okta disclosed a compromise of its customer support case management system. Cloudflare revealed that the threat actors leveraged access tokens and service account credentials obtained during the Okta compromise in October 2023.
In a nutshell:
Cloudflare’s proactive response, collaboration with cybersecurity experts, and transparency in disclosing the incident reflect the evolving challenges organizations face in the current threat landscape. The interconnected nature of supply-chain attacks emphasizes the importance of collective industry vigilance and robust cybersecurity measures to safeguard against nation-state threats and ensure the resilience of global networks.
