Serviciul de Informații Naționale (NIS) din Coreea de Sud avertizează că hackerii nord-coreeni vizează producătorii autohtoni de semiconductori în atacuri de spionaj cibernetic.
NIS afirmă că aceste atacuri s-au intensificat în a doua jumătate a anului 2023 până recent, vizând servere expuse pe internet vulnerabile la defecte cunoscute pentru accesul inițial la rețelele corporative.
Odată ce rețeaua a fost compromisă, actorii amenințării au furat date din servere care dețineau documente și date sensibile.
În cazurile observate de NIS, adversarii nord-coreeni au folosit tactici de „trai pe pământ”, care implică abuzarea uneltelor software legitime în scopuri malitioase pentru a evita detectarea de către produsele de securitate.
NIS menționează cel puțin două atacuri cibernetice asupra unor entități separate, survenite în decembrie 2023 și februarie 2024, în care serverele de management al configurației și politicile de securitate ale companiilor au fost sparte.
Aceasta a dus, se pare, la compromiterea desenelor de proiectare a produselor și a fotografiilor sitelor de facilități, printre alte date sensibile.
Victimele nu sunt numite în raport, dar este de remarcat faptul că Coreea de Sud este gazda a doi dintre cei mai importanți producători de chip-uri, Samsung Electronics și SK Hynix, care dezvoltă și produc o gamă largă de procesoare, sisteme pe cipuri și produse DRAM și NAND flash.
Potrivit Departamentului de Comerț al SUA, Samsung Electronics și SK Hynix sunt responsabile pentru 73% din cota de piață globală a DRAM și 51% din piața NAND flash.
Cele două companii joacă roluri critice în lanțul global de aprovizionare cu semiconductoare, furnizând cipuri pentru o gamă largă de companii remarcabile din diverse industrii la nivel global, inclusiv Apple, Google, Microsoft, Amazon, Sony, Dell și mulți producători de automobile și electronice de consum.
NIS consideră că aceste atacuri cibernetice au ca scop colectarea de informații tehnice valoroase pe care regimul nord-coreean le-ar putea folosi pentru a-și dezvolta propriul program de fabricare a chip-urilor și pentru a acoperi nevoile de echipamente militare.
Organizația de informații a declarat că a notificat victimele interne ale atacurilor cibernetice și a oferit recomandări privind detectarea și oprirea acestora.
Un oficial NIS a subliniat, de asemenea, importanța aplicării actualizărilor de securitate și a controlului strict al accesului pe serverele expuse pe internet, precum și aplicarea și actualizarea consecventă a proceselor robuste de autentificare pentru administratori pentru a preveni accesul neautorizat prin conturi privilegiate preluate.
Hackerii nord-coreeni au o istorie lungă de vizare a Coreei de Sud în atacuri de spionaj cibernetic pentru a fura date care ar putea avansa propriile programe sau agende interne.
Aceste activități au determinat guvernul SUA să sancționeze grupul de hacking al RPDC cunoscut sub numele de ‘Kimsuky’, care a fost legat de o varietate largă de atacuri, inclusiv compromiterea Institutului de Cercetare în Energie Atomică din Coreea de Sud.
Hackerii nord-coreeni legați de atacul de tip lanț de aprovizionare al sectorului de apărare
Botnetul furtiv KV invadează routerele SOHO și dispozitivele VPN
Hackerii Blackwood preiau actualizarea WPS Office pentru a instala malware
Vulnerabilitățile zero-day ale Ivanti Connect Secure sunt exploatate pentru a implementa malware personalizat
Hackerii turci Sea Turtle extind atacurile către ISP-urile și operatorii de telefonie olandezi
Leave a Reply