Три ключевые хакерские группы из Северной Кореи за последние полтора года проникли в около 10 южнокорейских оборонных компаний в согласованной попытке украсть оборонные технологии, сообщило во вторник Национальное полицейское управление (NPA).
Полицейское агентство обнародовало результаты расследования, проведенного совместно с национальной командой по управлению киберкризисами, касательно киберугроз, которыми делятся соответствующие правительственные организации.
Это первая подтвержденная согласованная хакерская атака, предпринятая тремя печально известными северокорейскими хакерскими группировками — Lazarus, Andariel и Kimsuky — с целью кражи оборонных технологий у южнокорейских фирм, сообщает NPA.
С ноября 2022 года Lazarus взломал внешний компьютерный сервер одной из пострадавших фирм и внедрил вредоносные коды, в конечном итоге взяв под свой контроль интрасеть фирмы и перенеся ключевые данные с шести внутренних компьютеров на зарубежный облачный сервер.
Андариэль крадет данные оборонных технологий у другой оборонной фирмы с октября 2022 года, незаконно получив информацию об электронной почте и паролях от отдельной фирмы, отвечающей за удаленное обслуживание и ремонт оборонной фирмы.
Кимсуки также незаконно получил доступ к почтовым серверам другой фирмы, занимающейся оборонными технологиями, и загрузил технологические данные в период с апреля по июль прошлого года, сообщает NPA.
Основываясь на IP-адресах и вредоносных кодах, использованных в атаках, включая коды, идентифицированные как Nukesped и Tiger RAT, а также на методах выявления наиболее уязвимых лазеек в программном обеспечении и построении серверов маршрутизации, полиция проследила атаки до северокорейского хакерские группы.
Некоторые из IP-адресов были обнаружены в китайском Шеньяне и идентифицированы как те же адреса, которые использовались при хакерской атаке в 2014 году на южнокорейское гидроэнергетическое агентство Korea Hydro & Nuclear Power Co.
Полиция подтвердила, что до недавнего времени подобные нападения продолжались в течение полутора лет. Однако из-за истечения сроков хранения журнала связи и удаления следов утечек точные сроки и полный размер ущерба остались непредвиденными, сообщили чиновники.
Сами пострадавшие фирмы также не знали о нападениях до начала полицейского расследования.
“Что касается размера ущерба, министерство обороны и Управление программы оборонных закупок тщательно рассмотрят этот вопрос”, – заявил представитель ННА, не раскрывая типы просочившихся технологий, сославшись на конфиденциальность.
ННА также предположило, что хакерская атака могла быть проведена по указанию лидера Северной Кореи Ким Чен Ына.
«Раньше было известно, что Кимсуки играл роль нападения на правительственные организации и политиков, в то время как Лазарус и Андариэль выполняли отдельные функции, направленные против финансовых учреждений, а также военных и оборонных учреждений соответственно», — сказал чиновник.
«Последнее расследование подтвердило, что три хакерские группы в один и тот же период предприняли всеобъемлющие атаки с единственной целью», — сказал чиновник. (Ёнхап)
