Hackers norte-coreanos comprometem empresas de defesa sul-coreanas
24 de Abril de 2024

A Agência Nacional de Polícia da Coreia do Sul emitiu hoje um aviso urgente sobre grupos de hackers norte-coreanos que estão visando entidades da indústria de defesa para roubar informações tecnológicas valiosas.

A polícia descobriu várias instâncias de violações bem-sucedidas de empresas de defesa na Coreia do Sul envolvendo os grupos de hackers Lazarus, Andariel e Kimsuky, todos parte do aparato de hackers da Coreia do Norte.

De acordo com o anúncio, os atacantes violaram as organizações explorando vulnerabilidades nos ambientes dos alvos ou de seus subcontratados para plantar malware capaz de exfiltrar dados.

A Agência Nacional de Polícia e a Administração do Programa de Aquisição de Defesa conduziram uma inspeção especial no início deste ano, entre 15 de janeiro e 16 de fevereiro, e implementaram medidas protetoras para garantir a segurança de redes críticas.

Esta operação especial descobriu múltiplas empresas que foram comprometidas desde o final de 2022, mas não estavam cientes da violação até que as autoridades as informassem.

O relatório policial destaca três casos envolvendo cada um dos grupos de hackers mencionados, mostrando métodos de ataque multifacetados visando o roubo de tecnologia de defesa.

Hackers do Lazarus exploraram sistemas de conexão de rede mal gerenciados projetados para testes e penetraram nas redes internas de uma empresa de defesa desde novembro de 2022.

Após infiltrarem na rede, eles coletaram dados críticos armazenados em pelo menos seis dos computadores da empresa e os transferiram para um servidor em nuvem no exterior.

O segundo ataque foi atribuído ao grupo Andariel, que roubou informações de contas de um funcionário de uma empresa de manutenção que prestava serviços para subcontratados de defesa.

Usando esta conta roubada em outubro de 2022, eles instalaram malware nos servidores desses subcontratados, levando a vazamentos significativos de dados técnicos relacionados à defesa.

Esta infiltração na rede foi ainda exacerbada por funcionários usando as mesmas senhas para contas pessoais e de trabalho.

Um terceiro ataque destacado no aviso da polícia, Kimsuky explorou uma vulnerabilidade no servidor de e-mail de um subcontratado de defesa entre abril e julho de 2023, que permitia o download de grandes arquivos sem a necessidade de autenticação.

Essa vulnerabilidade foi usada para baixar e roubar dados técnicos substanciais do servidor interno da empresa.

A polícia coreana recomenda que tanto as empresas de defesa quanto seus subcontratados melhorem a segmentação de segurança de rede, redefinição periódica de senhas, configuração de autenticação de dois fatores em todas as contas críticas e bloqueio de acessos de IPs estrangeiros.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...