安全動(dòng)態(tài)

黑客入侵韓國核研究所,朝鮮APT的主張?

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2021-06-22    瀏覽次數(shù):
 

信息來源:Freebuf


韓國原子能研究院(KAERI)?內(nèi)部網(wǎng)絡(luò)疑似被在其北部活動(dòng)的對手攻擊。據(jù)悉,KAERI成立于1959年,是一家開發(fā)核聚變和輻射融合技術(shù)的韓國政府研究機(jī)構(gòu)。

5月14日,攻擊者通過一家未具名的虛擬專用網(wǎng)絡(luò)(VPN)供應(yīng)商的漏洞,開展了入侵活動(dòng),訪問KAERI內(nèi)部服務(wù)器。如果韓國的核電核心技術(shù)被泄露,它可能會(huì)是與2016年其國防網(wǎng)絡(luò)遭到黑客攻擊相媲美的特大安全事故。

入侵事件發(fā)生后,智庫團(tuán)隊(duì)采取相關(guān)措施:封鎖了攻擊者的IP地址,并對易受攻擊的VPN解決方案應(yīng)用了必要的安全補(bǔ)丁。然而,在事件披露上,研究人員卻試圖進(jìn)行隱瞞。

6月11日,SisaJournal(媒體)報(bào)道了攻擊,而6月16日,研究人員卻改口稱“沒有受到任何黑客攻擊”,一天后,也就是6月17日,他們又承認(rèn)了這一事實(shí),并且表示“安全團(tuán)隊(duì)似乎有失誤”。

目前,進(jìn)一步的攻擊細(xì)節(jié)仍然在調(diào)查中。但此次共計(jì)涉及的13個(gè)IP地址中,其中“27.102.114[.]89”這一IP與之前朝鮮APT組織Kimsuky有關(guān),這也使得韓國更偏向?qū)⒐魵w因于朝鮮。

Kimsuky(又名VelvetChollima、BlackBanshee或Thallium)一直以針對韓國智庫和核電運(yùn)營商的網(wǎng)絡(luò)間諜活動(dòng)而聞名。不久前,該組織攻擊者還通過安裝名為AppleSeed的Android和Windows后門來收集有價(jià)值信息,用于打擊韓國知名政府官員。

此外,雖然用于這次攻擊的VPN漏洞尚未可知,但來自PulseSecure、SonicWall、FortinetFortiOS和Citrix的未打補(bǔ)丁的VPN系統(tǒng)近年來受到了多個(gè)威脅參與者的攻擊,對VPN本身的安全問題需要引起重點(diǎn)關(guān)注。


 
 

上一篇:2021年6月21日聚銘安全速遞

下一篇:統(tǒng)計(jì)數(shù)據(jù)出來了,針對中國網(wǎng)絡(luò)攻擊的最大來源國是美國!