Βορειοκορεάτες χάκερ συνδέονται με επίθεση στην αλυσίδα εφοδιασμού στον αμυντικό τομέα

Σε

μι

α συμβουλευτική

σήμερα

, η ομοσπονδιακή υπηρεσία πληροφοριών της Γερμανίας (BfV) και η Εθνική Υπηρεσία Πληροφοριών της Νότιας Κορέας (NIS) προειδοποιούν για μια συνεχιζόμενη επιχείρηση κυβερνοκατασκοπείας που στοχεύει τον παγκόσμιο αμυντικό τομέα για λογαριασμό της κυβέρνησης της Βόρειας Κορέας.

Οι επιθέσεις στοχεύουν στην κλοπή πληροφοριών προηγμένης στρατιωτικής τεχνολογίας και να βοηθήσουν τη Βόρεια Κορέα να εκσυγχρονίσει τα συμβατικά όπλα καθώς και να αναπτύξει νέες στρατιωτικές δυνατότητες.

Η σημερινή κοινή κυβερνοασφάλεια

συμβουλευτικός

(διατίθεται επίσης σε

κορεάτης

και

Γερμανός

) επισημαίνει δύο περιπτώσεις που αποδίδονται σε Βορειοκορεάτες παράγοντες, ένας από τους οποίους η ομάδα Lazarus, για την παροχή των τακτικών, των τεχνικών και των διαδικασιών (TTP) που χρησιμοποιούσαν οι επιτιθέμενοι.

Επίθεση εφοδιαστικής αλυσίδας

Σύμφωνα με τη συμβουλευτική, η πρώτη περίπτωση αναφέρεται σε ένα περιστατικό που συνέβη στα τέλη του 2022, όταν “ένας κυβερνο-βορειοκορεάτης παράγοντας εισέβαλε σε συστήματα ενός ερευνητικού κέντρου για ναυτιλιακές τεχνολογίες και ναυτιλιακές τεχνολογίες” και “εκτέλεσε μια επίθεση εφοδιαστικής αλυσίδας” συμβιβάζοντας η εταιρεία που διαχειριζόταν τις λειτουργίες συντήρησης διακομιστή ιστού του οργανισμού-στόχου

Ο εισβολέας ακολούθησε μια αλυσίδα επίθεσης που περιλάμβανε κλοπή διαπιστευτηρίων SSH, κατάχρηση νόμιμων εργαλείων, πλευρική κίνηση στο δίκτυο και προσπάθεια να παραμείνει κρυμμένος στην υποδομή.

Συγκεκριμένα, η συμβουλευτική παραθέτει τα ακόλουθα βήματα επίθεσης:

1. Παραβίασε την εταιρεία συντήρησης διακομιστή ιστού, έκλεψε διαπιστευτήρια SSH και απέκτησε πρόσβαση στον διακομιστή ιστού Linux του ερευνητικού κέντρου.
2. Λήψη κακόβουλων αρχείων (εργαλείο διοχέτευσης σήραγγας, σενάριο Base64 Python) με χρήση νόμιμων εργαλείων όπως το curl, που ανακτήθηκαν από τους διακομιστές εντολών και ελέγχου (C2).
3. Πραγματοποιήθηκε πλευρική κίνηση: καθιέρωσε SSH σε άλλους διακομιστές, χρησιμοποίησε το tcpdump για συλλογή πακέτων και έκλεψε διαπιστευτήρια λογαριασμού υπαλλήλου.
4. Μιμήθηκε έναν διαχειριστή ασφαλείας χρησιμοποιώντας κλεμμένες πληροφορίες λογαριασμού και προσπάθησε να διανείμει ένα κακόβουλο αρχείο ενημέρωσης κώδικα μέσω PMS, αλλά αποκλείστηκε από τον αυθεντικό διαχειριστή.
5. Συνέχισε να εκμεταλλεύεται την ευπάθεια μεταφόρτωσης αρχείων του ιστότοπου, ανέβασε ένα κέλυφος ιστού και έστειλε μηνύματα ηλεκτρονικού ψαρέματος (spear-phishing).

Συμβιβάζοντας πρώτα τον πάροχο υπηρεσιών πληροφορικής, ο Βορειοκορεάτης παράγοντας

απε

ιλών μπόρεσε να διεισδύσει σε έναν οργανισμό που διατηρεί καλή στάση ασφαλείας, εκμεταλλευόμενος τη σχέση μεταξύ των δύο για να πραγματοποιήσει μυστικές επιθέσεις με μικρά, προσεκτικά βήματα.

Το

ενημερωτικό δελτίο

προτείνει διάφορα μέτρα ασφαλείας έναντι αυτών των επιθέσεων, συμπεριλαμβανομένου του περιορισμού της πρόσβασης των παρόχων υπηρεσιών πληροφορικής στα συστήματα που είναι απαραίτητα για την απομακρυσμένη συντήρηση, την προσεκτική παρακολούθηση των αρχείων καταγραφής πρόσβασης για τον εντοπισμό συμβάντων μη εξουσιοδοτημένης πρόσβασης, τη χρήση ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) σε όλους τους λογαριασμούς και την υιοθέτηση αυστηρών χρηστών πολιτικές ελέγχου ταυτότητας για το σύστημα διαχείρισης ενημερώσεων κώδικα (PMS).

Κοινωνική μηχανική

Το δεύτερο παράδειγμα δείχνει ότι η “Επιχείρηση

Dream

Job” του ομίλου Lazarus, μια τακτική που χρησιμοποιούν οι βορειοκορεάτες ηθοποιοί εναντίον εργαζομένων εταιρειών κρυπτονομισμάτων και προγραμματιστών λογισμικού, χρησιμοποιήθηκε επίσης εναντίον του αμυντικού τομέα.

Η ESET τόνισε ένα παρόμοιο περιστατικό τον Σεπτέμβριο του 2023, όπου ο Lazarus στόχευσε έναν υπάλληλο μιας αεροδιαστημικής εταιρείας στην Ισπανία για να μολύνει συστήματα με την κερκόπορτα «LightlessCan».

Το δελτίο ασφαλείας επισημαίνει μια περίπτωση όπου ο Lazarus δημιουργεί έναν λογαριασμό σε μια διαδικτυακή πύλη εργασίας χρησιμοποιώντας πλαστά ή κλεμμένα προσωπικά δεδομένα ενός υπάρχοντος ατόμου και τον επιμελείται με την πάροδο του χρόνου, ώστε να δικτυωθεί με τα κατάλληλα άτομα για τους στόχους κοινωνικής μηχανικής στην καμπάνια.

Στη συνέχεια, ο ηθοποιός της απειλής χρησιμοποιεί αυτόν τον λογαριασμό για να προσεγγίσει άτομα που εργάζονται για αμυντικούς οργανισμούς και συνδέεται μαζί τους για να ξεκινήσει μια συνομιλία στα αγγλικά, δημιουργώντας σιγά-σιγά μια σύνδεση για πολλές ημέρες, εβδομάδες ή και μήνες.

Αφού κερδίσει την εμπιστοσύνη του θύματος, ο ηθοποιός της απειλής του προσφέρει δουλειά και του προτείνει ένα εξωτερικό κανάλι επικοινωνίας όπου μπορεί να μοιραστεί ένα κακόβουλο αρχείο PDF που περιγράφεται ως έγγραφο με λεπτομέρειες σχετικά με την προσφορά.

Αυτό το αρχείο είναι συνήθως ένας εκκινητής πρώτου σταδίου που ρίχνει κακόβουλο λογισμικό στον υπολογιστή του στόχου, το οποίο στη συνέχεια χρησιμοποιεί ο Lazarus ως αρχικό στήριγμα για να μετακινηθεί εντός του εταιρικού δικτύου.

Σε ορισμένες περιπτώσεις, ο Lazarus στέλνει ένα αρχείο ZIP που περιέχει ένα κακόβουλο πρόγραμμα-πελάτη VPN, το οποίο χρησιμοποιούν για πρόσβαση στο δίκτυο εργοδότη του θύματος.

Αν και αυτές είναι γνωστές τακτικές, μπορούν να είναι επιτυχείς εκτός εάν οι οργανισμοί εκπαιδεύσουν τους υπαλλήλους τους σχετικά με τις τελευταίες τάσεις στις κυβερνοεπιθέσεις.

Η υιοθέτηση της αρχής των ελάχιστων προνομίων και ο περιορισμός της πρόσβασης των εργαζομένων μόνο στα συστήματα που χρειάζονται θα πρέπει να είναι η αρχή για μια καλή στάση ασφαλείας.

Η προσθήκη ισχυρών μηχανισμών και διαδικασιών ελέγχου ταυτότητας για το σύστημα διαχείρισης ενημερώσεων κώδικα και η διατήρηση αρχείων καταγραφής ελέγχου που περιλαμβάνουν πρόσβαση χρήστη θα βελτιώσει τη στάση ασφαλείας.

Για επιθέσεις κοινωνικής μηχανικής, οι δύο υπηρεσίες συνιστούν την εκπαίδευση των εργαζομένων σε κοινές τακτικές.