North Korea

韓国警察庁(KNPA)は、北朝鮮のハッカーが同国最大の病院の一つであるソウル大学病院(SNUH)のネットワークに侵入し、機密の医療情報や個人情報を盗んだと警告した。

事件は2021年5月から6月にかけて発生し、警察は犯人を特定するために過去2年間に分析捜査を実施した。

法執行機関のプレスリリースによると、次の情報に基づいて、この攻撃は北朝鮮のハッカーによるものであると考えられています。

  • 攻撃で観察された侵入テクニック、
  • 北朝鮮の脅威アクターに独自に関連付けられている IP アドレス、
  • ウェブサイトの登録詳細、
  • 特定の言語と北朝鮮の語彙の使用

韓国の地元メディアはこの攻撃をキムスキー・ハッキンググループと関連付けたが、警察の報告書では特定の脅威グループについては明確に言及していない。

攻撃者は韓国およびその他の国にある 7 台のサーバーを使用して、病院の内部ネットワークに対して攻撃を開始しました。

攻撃概要
襲撃概要(police.go.kr)

警察は、この事件により83万1,000人のデータが流出し、そのほとんどが患者だったと発表した。また、影響を受ける人のうち1万7000人は病院の現職員と元職員だ。

KNPAのプレスリリースは、北朝鮮のハッカーがさまざまな業界の情報通信ネットワークに侵入しようとする可能性があると警告した。セキュリティパッチの導入、システムアクセスの管理、機密データの暗号化など、セキュリティ対策と手順を強化する必要性を強調した。

警察庁は「各国政府の支援による組織的サイバー攻撃に対しては安全保障能力を総動員して積極的に対応し、関連機関との情報共有と連携を通じてさらなる被害を防止し、韓国のサイバー安全保障を断固として守る計画だ」と警告した。

マウイとアンダリエル

北朝鮮のハッカーはこれまでにも、機密データを盗み、医療機関から身代金を強要することを目的とした病院ネットワークへの侵入に関与しているとされていた。

具体的には、米国政府はマウイ島のランサムウェアの脅威そのものを強調し、北朝鮮の作戦に対する防御を強化する必要があると医療業界に警告している。

この警告の直後、カスペルスキーのセキュリティ研究者は、マウイ島のランサムウェア活動を、Lazarus のサブグループであると考えられる「Andariel」(別名「Stonefly」)という名前の特定の活動クラスターに関連付けました

Lazarus は、 2021 年 4 月以降、韓国の企業をランサムウェアで標的にしたことで知られています。