Wins Security Information

악성코드 정보

앞 내용 보기 다음 내용 보기
보안 동향북한, 남한 핵 연구소를 해킹하기 위해 VPN 취약점 악용
작성일 2021-06-21 조회 174

 

 

한국 원자력 연구원(KAERI)이 금요일 북한 활동 혐의가 있는 공격자들이 내부 네트워크에 침투했다고 밝혔다.

 

이 침입은 5월 14일에 이름이 지정되지 않은 VPN(가상 사설망) 공급 업체의 취약점을 통해 발생했으며 총 13개의 IP 주소가 관련되어 있었다.

 

그중 하나는 "27.102.114[.]89"으로 국가가 후원하는 Kimsuky라고 불리는 위협 행위자와 연결되어있다.

 

1959년에 설립되어 대전시에 위치한 한국 원자력 연구원은 원자로, 연료봉, 방사선 융합, 원자력 안전과 관련된 원자력 기술을 설계하고 개발하는 정부 지원 연구 기관이다.

 

침입 이후 싱크 탱크는 공격자의 IP 주소를 차단하는 조치를 취하고 취약한 VPN 솔루션에 필요한 보안 패치를 적용했다고 밝혔다.

 

해당 기관은 성명에서 "현재 원자력 연구원은 해킹 대상과 피해량을 조사하고있습니다."고 밝혔다.

 

SISA 저널의 보고서에 따르면 해당 기관이 그러한 사건이 발생했음을 부인하며 해킹을 은폐하려했다는 위반 사실을 공개했다.

 

한국 원자력 연구원은 이를 "실무진의 대응 실수"라고 평가했다.

 

 

 

[그림1. 사이버침해사고 보고서 일부분]

 

 

2012년부터 활동중인 Kimsuky(일명 Velvet Chollima, Black Banshee 또는 Thallium)는 한국의 싱크 탱크 및 원자력 운영자를 대상으로 한 사이버 스파이 활동으로 유명한 북한의 위협 행위자이다.

 

이달 초 사이버 보안 회사 Malwarebytes는 귀중한 정보를 수집하기 위해 AppleSeed라는 Android 및 Windows 백도어를 설치하여 국가의 유명 공무원을 공격하기 위해 공격자가 행한 공격의 흐름을 공개했다.

 

대상 기관은 앞서 언급한 IP 주소를 사용하여 외교부, 주 스리랑카 대사관, 국제 원자력기구(IAEA) 원자력 안보관, 홍콩 한국 총영사관 부영사를 포함한 기구들을 공격했다.

 

네트워크를 침해하기 위해 어떤 VPN 취약점이 악용되었는지 명확하지 않다.

 

그러나 Pulse Secure, SonicWall, Fortinet FortiOS 및 Citrix의 패치되지 않은 VPN 시스템 이 최근 몇 년 동안 여러 위협 행위자의 공격을 받았다는 점은 주목할 가치가 있다.

 

 

 

출처

https://thehackernews.com/2021/06/north-korea-exploited-vpn-flaw-to-hack.html

첨부파일 첨부파일이 없습니다.
태그 VPN