Agencia de Investigación Nuclear de Corea del Sur hackeada

El 'Instituto de Investigación de Energía Atómica de Corea' de Corea del Sur reveló ayer que sus redes internas fueron pirateadas el mes pasado por actores de amenazas norcoreanos que utilizan una vulnerabilidad de VPN.

El Instituto de Investigación de Energía Atómica de Corea, o KAERI, es el instituto patrocinado por el gobierno para la investigación y aplicación de la energía nuclear en Corea del Sur.

La violación se informó por primera vez a principios de este mes cuando el medio surcoreano Sisa Journal  comenzó a cubrir el ataque. En ese momento, KAERI inicialmente confirmó y luego negó que hubiera ocurrido el ataque.

En un comunicado y conferencia de prensa celebrada ayer por KAERI, el instituto confirmó oficialmente el ataque y se disculpó por intentar encubrir el incidente.

Atribuido a los actores de amenazas de Corea del Norte

KAERI afirma que el ataque tuvo lugar el 14 de junio después de que los actores de amenazas norcoreanos violaran su red interna utilizando una vulnerabilidad de VPN.

KAERI afirma que han actualizado el dispositivo VPN no revelado para corregir la vulnerabilidad. Sin embargo, los registros de acceso muestran que trece diferentes direcciones IP no autorizadas obtuvieron acceso a la red interna a través de la VPN.

Una de estas direcciones IP está vinculada a un grupo de piratas informáticos patrocinado por el estado de Corea del Norte conocido como 'Kimsuky' que se cree que trabaja bajo la agencia de inteligencia de la Oficina General de Reconocimiento de Corea del Norte.


En octubre de 2020, CISA emitió una alerta sobre el grupo APT de Kimsuky y declaró que "probablemente el régimen de Corea del Norte les ha asignado una misión de recopilación de inteligencia global".

Más recientemente, Malwarebytes ha publicado un informe sobre cómo Kimsuky (también conocido como Thallium, Black Banshee y Velvet Chollima) ha estado apuntando activamente al gobierno de Corea del Sur utilizando la puerta trasera 'AppleSeed' en ataques de phishing.

"Uno de los señuelos utilizados por Kimsuky llamado" 외교부 가판 2021-05-07 "en coreano se traduce como" Ministerio de Relaciones Exteriores Edición 2021-05-07 ", lo que indica que ha sido diseñado para apuntar al Ministerio de Relaciones Exteriores de Corea del Sur ", explica el informe de Malwarebytes sobre las actividades recientes del actor de amenazas.

"Según nuestros datos recopilados, hemos identificado que es una entidad de gran interés para Kimsuky".

Malwarebytes afirma que Kimsuky se ha dirigido a otras agencias gubernamentales de Corea del Sur en recientes ataques de phishing, que incluyen:

- Ministerio de Relaciones Exteriores, República de Corea 1er Secretario
- Ministerio de Relaciones Exteriores de la República de Corea Segundo Secretario
- Ministro de comercio
- Cónsul General Adjunto del Consulado General de Corea en Hong Kong
- Oficial de seguridad nuclear del Organismo Internacional de Energía Atómica (OIEA)
- Embajador de la Embajada de Sri Lanka en el Estado
- Consejero del Ministerio de Relaciones Exteriores y Comercio

KAERI afirma que aún están investigando el ataque para confirmar a qué información se ha accedido.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta