韩国国营的韩国原子能研究所 (KAERI) 周五披露,其内部网络已被在其北部同行开展活动的可疑攻击者渗透。
据称,这次入侵是在 5 月 14 日通过一家未具名的虚拟专用网络 (V-PN) 供应商的漏洞进行的,涉及总共 13 个 IP 地址,其中一个——“27.102.114.89”——之前曾被与被称为Kimsuky的国家资助的黑客有关。
KAERI 成立于 1959 年,位于大田市,是一家政府资助的研究机构,设计和开发与反应堆、燃料棒、辐射聚变和核安全相关的核技术。
在入侵之后,智囊团表示已采取措施阻止攻击者的 IP 地址,并为易受攻击的 V-PN 解决方案应用了必要的安全补丁。该实体在一份声明中说:“目前,原子能研究所正在调查黑客攻击的主题和损害程度。”
事态发展是在SISA Journal的一份报告中披露的,该报告披露了该漏洞,声称该机构试图通过否认发生此类事件来掩盖黑客攻击。KAERI 将其归咎于“工作层员工的错误反应”。
确认韩国原子能研究所发生黑客攻击事故,目前政府部门正在调查中。研究人员自己对黑客事件的调查目前正在进行中,分析表明这是朝鲜黑客组织的工作。在此过程中,研究人员甚至做出了掩盖黑客入侵事实的举动。
据河泰京6月17日消息,据人民政权办公室消息,5月14日韩国原子能研究所发生黑客攻击。通过虚拟专用网(V-PN)系统的漏洞,确认了“身份不明”的外人访问内部服务器的历史。
具体来说,未经授权的访问来自 13 个外部互联网地址 (IP)。研究人员说:“我们一发现攻击,就采取措施封锁攻击者的IP并更新安全系统。我们目前正在调查具体的破坏情况。”
在这种情况下,网络安全专家指出朝鲜黑客组织是罪魁祸首。一位不愿透露姓名的网络安全专家说:“我们需要准确分析黑客代码,但怀疑是朝鲜黑客。“
朝鲜黑客组织分为“金秀基”、“拉撒路”和“APT38”。如果你分析他们使用的黑客代码的相似性,你可以找出他们是哪个黑客组织。一位网络安全专家说:“在研究人员的黑客攻击案中也发现了‘金秀基集团’特有的模式。”
研究员在一周内3次改变立场
更大的问题是,研究人员试图掩盖黑客攻击造成的损失。研究人员在一周内改变了他对黑客攻击的立场 3 次。
6 月 11 日,Sisa Journal 开始报道黑客攻击时称,“黑客攻击已经发生,目前正在调查中。”然而,5天后的16日,他突然改口,说:“我没有受到任何黑客攻击。”然而,就在一天后的 17 日,他承认自己遭受了黑客攻击,并称,“一名外人利用 V-PN 漏洞访问了系统。”研究人员相关负责人表示,“安全团队似乎有失误”,但并未具体说明推翻损害事实的原因。河泰京议员说:“科学、信息和通信技术和未来计划部和原子能研究所都做了虚假报告,称’没有黑客事故’,但当被问及具体事实时,他们终于承认了。”研发棒等国源是关键技术的地方,用厚颜无耻的谎言隐瞒如此重要的事实(黑客)来欺骗人民的罪名更大。
该研究人员过去还接受了国际原子能机构(IAEA)对核材料制造的调查。2004 年,国际原子能机构调查了研究人员中提炼核材料钚的指控。因此,有人指出了激光同位素实验和浓缩铀的生产。但得出的结论是,试验规模微不足道,随着相关设施的退役,最终并没有导致核武器的发展。2018年,获得国际原子能机构核检样品分析资质,备受关注。
对此,一位网络安全行业负责人表示:“该研究所是韩国唯一的核研发机构,其重要性足以被公认为国家核工业的基石。看来安全网终于被连续攻击破坏了。”
自 2012 年以来,Kimsuky(又名 Velvet Chollima、Black Banshee 或 Thallium)是一名朝鲜黑客,以其针对韩国智库和核电运营商的网络间谍活动而闻名。
本月早些时候,网络安全公司 Malwarebytes披露了攻击者通过安装名为 AppleSeed 的 Android 和 Windows 后门收集有价值信息来打击该国知名政府官员的一波攻击。
目标实体包括外交部、斯里兰卡驻该国大使馆大使、国际原子能机构(IAEA)核安全官员和韩国驻香港总领事馆副总领事,具有上述 IP 地址用于命令与控制 (C2) 通信。
目前尚不清楚是什么 V-PN 漏洞被利用来破坏网络。但值得注意的是,来自Pulse Secure、SonicWall、Fortinet FortiOS 和 Citrix 的未打补丁的 V-PN 系统近年来受到了多个威胁参与者的攻击。
进行核相关研究的国家研究机构韩国原子能研究所的内部系统在历史上首次遭到黑客攻击。虽然科学和信息通信技术部(科学技术部)正在确认黑客事件的规模和攻击背景,但据称朝鲜黑客入侵了韩国原子能研究所的内部系统。
据国会情报委员会委员河泰京18日称,上个月14日在韩国原子能研究所发现了黑客攻击情况。哈议员办公室表示,“我们已经确认了一个未知的外部人员通过虚拟专用网络(V-PN)系统中的漏洞访问一些原子能研究所系统的历史。” V-PN 是一种加密的虚拟专用网络,允许您从外部连接到您的内部网络。
哈的办公室声称,黑客攻击中使用的一些 IP 连接到与 Kimsuky 相关的服务器。Kimsuki 是一个朝鲜黑客组织,自 2010 年左右以来,它就曾入侵过主要的政府部门和相关组织,例如国防部和统一部。
通过专门研究朝鲜网络恐怖主义的研究小组“Issue Makers Lab”追溯IP历史,发现一个IP与朝鲜有关。具体来说,河泰京议员办公室解释说,这个 IP 连接到金秀基去年用来攻击 COVID-19 疫苗制药公司的朝鲜服务器。
此外,据报道,在攻击研究员的黑客所使用的地址中,还发现了前青瓦台外交和安全特别顾问文正仁的电子邮件ID。河众议员说:“前特别顾问文在寅极有可能与2018年他被电子邮件攻击的事件有关。”他说,“这是朝鲜幕后黑手的决定性证据。”
河泰京:“朝鲜落后的决定性证据”:
当内部系统遭到朝鲜黑客攻击的指控浮出水面时,韩国原子能研究所承认黑客攻击的是自己。韩国原子能研究院18日宣布,“通过V-PN系统漏洞,我们验证了身份不明的外人访问部分系统的历史”,“据此,我们封锁了攻击者的IP,并应用了V-PN系统安全更新”。
据韩国原子能研究所称,这是核研究所首次遭到黑客攻击。直到现在,韩国原子能研究所的内部系统从来没有被黑客所谓的“渗透敌人”。这意味着这是历史上第一次被黑客入侵。
韩国原子能研究所表示,“虽然每年大约发生 10 次黑客攻击,但研究人员从未被黑客攻击或损坏过。”韩国原子能研究所表示。因为它是第一次成功,我认为表达的是’打破通过’是正确的。”
由于韩国原子能研究所在历史上首次遭到黑客攻击,黑客攻击的范围和连锁反应也备受关注。众所周知,朝鲜拥有一些核武器技术,但未能获得核能发电技术。因此,黑客是为了能源安全而尝试的,如果它真的成功了,它可能会导致严重的问题。韩国原子能研究所拥有的智能核电站设计数据或与核电站相关的手册和数据有可能被泄露。
中央大学核安全研究中心负责人(能源系统工程教授)郑东旭说:“有必要检查哪些技术被黑客入侵,但目前,朝鲜已经拥有浓缩技术和后处理,需要升级石墨减速反应堆或开发基于核电的特殊装置。韩国原子能研究所的技术可以应用于制造,“他说。
然而,专家解释说,即使由于这次黑客攻击,国内数据大规模转移到朝鲜,朝鲜实际上也很难制造和设计核电站。核安全研究中心主任郑东旭说:“在最坏的情况下,即使取消国内核电站的整个设计,也几乎不可能真正制造核电站,因为北”韩国缺乏核电站产业基础设施。就这样,你不能简单地采用技术来设计核电站。“
对此,韩国原子能研究所表示:“我们正在与相关组织一起调查这次黑客攻击的主题和损失规模”,并表示,“对于引起公众的担忧,我们深表歉意。”
主管科技部也承认,有外人查看了韩国原子能研究所内部服务器的访问历史。科技部解释说,韩国原子能研究所于 6 月初向科技部报告了黑客入侵事件,国家情报局已开始调查。
科学技术部宣布,“韩国原子能研究所已采取必要措施,例如立即暂停 V-PN 运行和封锁攻击者 IP。” 不过,至于朝鲜黑客组织是否真的发动了攻击,立场“正在核实中”。科学技术部和韩国原子能研究所均解释说,黑客攻击事故被韩国原子能研究所掩盖为“实际错误”。
与此同时,众所周知,调查的主体国家情报局将很快公布实况调查的结果。
参考文章:
https://malpedia.caad.fkie.fraunhofer.de/actor/kimsuky
https://thehackernews.com/2021/06/north-korea-exploited-v-pn-flaw-to-hack.html
来源:freebuf.com 2021-06-21 23:02:55 by: jimmy520
请登录后发表评论
注册