La Corea del Nord intensifica gli attacchi informatici verso la Corea del Sud
Le bande di hacker nordcoreane, sostenute dallo stato, hanno cominciato ad intensificare i loro attacchi informatici verso la Corea del Sud
KAERI, ossia l’istituto di ricerca sull’energia atomica, durante un’intervista, ha affermato di essere stato attaccato attraverso una vulnerabilità del VPN, sostenendo però che ora l’IP dell’attaccante è bloccato e il suo sistema VPN venga aggiornato continuamente. Purtroppo i danni provocati dall’hackeraggio da parte della Corea del Nord sono ancora sconosciuti, ma di sicuro se Kimsuky, avesse divulgato informazioni vitali alla RPDC, le implicazioni per la sicurezza nazionale della Corea del Sud potrebbero essere dannose.
Se le tecnologie chiave dello stato sull'energia nucleare sono trapelate alla Corea del Nord, potrebbe essere la più grande violazione della sicurezza del paese, quasi allo stesso livello di un hacking. attacco del Nord al ministero della Difesa nel 2016
Questo quanto dichiarato dal rappresentante del People Power Party, nonché il principale partito di opposizione della Corea del Sud.
Ma cosa è Kimsuky
Kimsuky, noto anche come Velvet Chollima, è stato individuato per la prima volta dalla società di sicurezza Kaspersky nel 2013.
“Sono un gruppo APT motivato geopoliticamente che prende di mira
principalmente la penisola coreana”, spiega Seongsu Park, ricercatore
senior sulla sicurezza di Kaspersky. “I Kimsuky hanno una solida motivazione
per raccogliere informazioni politiche e diplomatiche, ma occasionalmente
spostano il loro obiettivo sulle industrie finanziarie. Fino a poco tempo, sono
molto attivi e attaccano molte entità con diversi cluster”.
Il gruppo ha recentemente favorito il malware chiamato “backdoor AppleSeed”, che ha utilizzato nell’attacco al KAERI.
“Il gruppo Kimsuky fornisce AppleSeed con vari metodi e formati di file e documenti esca che contengono problemi geopolitici”, spiega Park. “Ha funzionalità semplici per controllare gli host infetti. Usando questo malware, l’attore può esfiltrare i dati e impiantare ulteriore malware“.
Come ha fatto Kimsuky ad entrare nel sistema?
Innanzitutto dobbiamo dire che il gruppo APT si è infiltrato nel sistema sud coreano tramite VPN. Effettivamente Darren Williams, CEO e co-fondatore della società di sicurezza Blackfog, afferma che le VPN sono una grande vulnerabilità, in quanto molte aziende pensano che usarne una risolverà tutti i loro problemi di sicurezza, quando in realtà in situazioni come questa è solo un’altra possibile vittima di minacce.
Con il lavoro a distanza, aumentato a causa della pandemia da Covid-19, inoltre, le VPN sono state utilizzate sempre di più, facendole diventare un obbiettivo sempre più grande per gli Hacker.
“È fantastico per gli aggressori perché è un modo centralizzato per
acquisire dati dalle aziende, poiché ora [tutti gli utenti] stanno
attraversando esattamente la stessa connessione…Quindi, se riesci a sfruttarlo, allora puoi praticamente rubare qualsiasi cosa all’interno della società, quindi è interessante che il Kimsuky si concentri su questo”
afferma Williams.
Perché le bande nordcoreane prendono sempre più di mira la Corea del Sud
La società di sicurezza informatica Malwarebytes afferma che la sola Kimsuky ha tentato di hackerare dispositivi appartenenti a funzionari di alto rango come il ministro degli Affari esteri e il ministro del commercio del paese negli ultimi mesi. Gli obiettivi non governativi hanno incluso anche la Seoul National University e la società di sicurezza finanziaria Daishin.
Si pensa che gli attori nordcoreani abbiano lanciato una media di 1,5 milioni di attacchi informatici al giorno contro il settore
pubblico in Corea del Sud durante il 2020, compresi obiettivi finanziari e infrastrutturali, secondo fonti del governo sudcoreano citate dal quotidiano The Straits Times con sede a Singapore. Darren Williams afferma che più gruppi di hacker vengono cooptati dal governo nordcoreano come parte di una campagna contro il vicino del paese nel sud. “Immagino che stiano costringendo gli hacker a farlo solo per mettere il cibo in tavola”, dice Williams. “Sono molto presi
di mira su ciò che cercano di ottenere”.
Questo però, non è il primo attacco nordcoreano alle infrastrutture nucleari. Nell’ottobre 2019 il gruppo Lazerus, un altro gruppo
dell’APT che si ritiene operi per conto del governo nordcoreano, ha hackerato la centrale nucleare di Kudankulam in India dove, la macchina incriminata è stata prontamente individuata e isolata.
Descrivendo l’ultima violazione segnalata come “preoccupante”, Steve Forbes, esperto di sicurezza informatica del governo presso Nominet, afferma che le implicazioni potrebbero essere gravi.
“Con le ambizioni nucleari della Corea del Nord ben note, questa violazione potrebbe avere gravi conseguenze sulla sicurezza globale se l’intelligence nucleare sudcoreana fosse compromessa”.
afferma Forbes.
Clicca qui per leggere l’articolo tratto dal blog di Blackfog