北朝鮮のハッカー、韓国の原子力研究機関に侵入:VPNの脆弱性を利用か

KAERI

韓国政府は2021年6月17日、北朝鮮で活動しているとみられるハッカーが韓国の原子力発電と核燃料技術の研究を行う政府機関である韓国原子力研究所(KAERI)の内部ネットワークに侵入していたと発表しました。

KAERIの広報担当者は記者会見で、侵入は5月14日に仮想プライベートネットワーク(VPN)サーバーの脆弱性を利用して行われたと述べています。

脆弱性を悪用して組織内のネットワークにアクセスする13種類のIPアドレスが確認され、これらのIPアドレスのうち1つは北朝鮮のサイバースパイ集団であるKimsukyが使用している攻撃インフラと関連していることがわかっています。

Kimsuky APT(Thallium、Black Banshee、Velvet Chollimaとも呼ばれる)は、2012年から活動を開始した北朝鮮の脅威グループで、このグループは主に韓国の政府機関を標的としたサイバースパイ活動を行っていることがわかっています。

https://malpedia.caad.fkie.fraunhofer.de/actor/kimsuky

KAERI社の記者会見で韓国の報道機関に発表された資料では、VPNサーバーのベンダー名が伏せられており、Kimsuky APTの主な攻撃手法であるスピア・フィッシングとは異なる手法であるため、本当にVPNの脆弱性による侵入であったのかは定かではありません。

KAERIは当初侵入被害を否定していたため批判を浴びており、記者会見後掲載されたプレスリリースで、当初の否定について謝罪しています。

https://www.kaeri.re.kr/board/view?menuId=MENU00326&linkId=9181

セキュリティ企業のMalwarebytes社が発表したレポートによると、Kimsuky社のスピアフィッシング攻撃は複数の韓国政府機関に加えて、核の規制と協力を任務とする国連機関である国際原子力機関(IAEA)の核セキュリティ担当者を標的としていたことが明らかにしています。

https://blog.malwarebytes.com/threat-analysis/2021/06/kimsuky-apt-continues-to-target-south-korean-government-using-appleseed-backdoor/

Kimsukyに限らず、北朝鮮のサイバースパイグループはいずれも歴史的に見て主に核兵器プログラムや原子力エネルギー、核武装関連に関心を持っているようです

2019年9月、米国財務省は北朝鮮の3つのハッキンググループ(Lazarus、Andariel、Bluenoroff)を、同国の核兵器・ミサイル計画に還流させるための資金を盗むことを目的としたハッキングを理由に制裁を課しました

https://home.treasury.gov/news/press-releases/sm774

Leave a Reply

Your email address will not be published.