Novo opozorilo: Kibernetski napadi ciljajo na južnokorejski gradbeni in strojni sektor
Južnokorejska varnostna agencija je izdala skupno varnostno svetilo, ki opozarja na porast kibernetskih napadov, namenjenih sektorjema gradbeništva in strojnega inženirstva. Varnostno svetilo dviguje alarm glede sofisticiranih napadov, ki jih naj bi izvajale severnokorejske kibernetske skupine Kimsuky in Andariel, katerih cilj je pridobivanje tajnih podatkov za domačo industrijsko uporabo.
Varnostno svetilo vključuje podrobne informacije o taktikah, tehnikah in postopkih (TTPs), ki jih uporabljata te skupine, ter kazalce kompromitov (IoCs). Višja ogroženost je povezana s Severno Korejo in njeno novo politiko hitrega industrializiranja, kar je privedlo do povečanja kibernetsko obveščevalnih dejavnosti, ki ciljajo na južnokorejske industrijske sektorje.
Kimsuky in sofisticirani napadi na gradbeništvo
Kimsuky je izvedel sofisticiran kibernetski napad na južnokorejski gradbeni sektor januarja 2024. Napadalci so kompromitirali legitimno varnostno programsko opremo, ki se uporablja za prijavo na spletne strani. S tem so distribuirali malware, ki je izbežal opazovanju nekaterih antivirusnih programov. Ko je bil malware nameščen, je zlahka zbiral podatke, kot so sistemske informacije, zaslone, podatke brskalnika, vključno z uporabniškimi imeni in piškoti.
Napad je kombiniral tehniko dodatne verige in vodočrto, ki je izkoriščala napake na spletnih straneh ciljnih organizacij za razdelitev nevarne kode. Skupina Kimsuky je ciljala na gradbeni sektor tako, da je ukradla legitimne digitalne certifikate in jih uporabila za podpis malwareja, ki je bil nato razširjen prek okuženih spletnih strani, ki jih pogosto obiskujejo uporabniki iz gradbeniškega sektorja.
Glavni cilj napada so bile vlade in organizacije v gradbenem sektorju za pridobitev dostopa do zaupnih informacij o velikih gradbenih projektih in tehničnih podatkov od udeležencev. Vključitev funkcije kraje podatkov GPKI (General Public Key Infrastructure) v programski opremi malwareja nakazuje na namerni poskus povečanja obsega napada in ohranitve stalnega dostopa do kompromitiranih sistemov.
Andariel in ciljani napadi na strojni sektor
Skupina Andariel je izkoriščala pomanjkljivosti v domači informacijski varnostni programski opremi (VPN in strežnikih) za izvajanje ciljanih napadov na gradbeni in strojni sektor aprila 2024. Skupina je zamenjala legitimne datoteke za upravljanje z malwarejem, kar je omogočilo razširjanje DoraRAT-ja, remote dostopa trojana. Napadna veriga je uporabila napako v komunikacijskem protokolu med klientom in strežnikom VPN-ja, da bi zaobšla več varnostnih preverjanj in razdelila nevarno kodo.
DoraRAT malware je osnovna, vendar omogoča prenos datotek in izvrševanje nalog in je verjetno bila uporabljena za pridobitev velikih količin načrtov dokumentov, povezanih z mehanično opremo in inženiringom.
Po podatkih KCIC (Korea Cybercrime Investigation Center) so napadalci tudi izkoriščali pomanjkljivosti v programih za upravljanje strežnikov, kar kaže na tveganje, da bi ciljali na IT upravljalno programsko opremo zaradi njihovih privilegiranih dostopov.
Proaktivno pristopanje k varnosti
Severna Koreja usmerja svoje napade na pomanjkljivosti spletnih strani in informacijske varnostne programske opreme. Da bi se zaščitili, naj bi organizacije izvajale osebno varnostno usposabljanje za vse zaposlene, izvajale strožji nadzor nad distribucijo programske opreme in bile na tekočem z varnostnimi svetili vladnih organov.
Organizacije lahko izboljšajo razvoj svoje programske opreme z rednimi varnostnimi ocenami, ki jih nudi KISA (Korea Internet & Security Agency). Proaktivno obravnavanje teh področij lahko organizacijam pomaga zaščititi se pred kibernetskimi napadi.
💡 Namig dneva 💡
Zaključek
Kibernetski napadi, posebej usmerjeni proti sektorjem gradbeništva in strojnega inženirstva, predstavljajo resno grožnjo za varnost in stabilnost južnokorejske industrije. Skupine, kot sta Kimsuky in Andariel, uporabljajo izpopolnjene taktike za dostop do zaupnih informacij. Z rednim nadzorom varnostnih svetil in izvajanjem robustnih varnostnih ukrepov lahko organizacije bolje zaščitijo svoje kritične sisteme in preprečijo morebitne kršitve varnosti.
URL izvora novice: [CyberPress](https://cyberpress.org/vpn-update-flaw-to-breach-networks/)
**Vir: CyberPress**
