Hackean el Instituto de Investigación nuclear de Corea del Sur aprovechando un fallo en VPN

El Instituto de Investigación de Energía Atómica de Corea (KAERI) es la organización gubernamental para la investigación y aplicación de la energía nuclear en Corea del Sur. ¿Puede alguien infiltrarse en su red interna? Parece que sí y apunta a hackers norcoreanos al servicio de su gobierno.

En un comunicado y conferencia de prensa, KAERI confirmó oficialmente el ciberataque y se disculpó por intentar encubrir un incidente que un principio negó cuando se filtró en medios independientes.

KAERI afirma que el ataque tuvo lugar el 14 de junio después de que unos desconocidos violaran su red interna utilizando una vulnerabilidad de VPN. La organización ha actualizado el dispositivo VPN no revelado para corregir la vulnerabilidad. Sin embargo, los registros de acceso muestran que trece diferentes direcciones IP no autorizadas obtuvieron acceso a la red interna a través de ella.

Las redes privadas virtuales (VPN) son una tecnología de red que permiten extender de forma segura y privada una red local sobre una red pública como Internet. estas conexiones virtuales punto a punto ocultan la dirección IP del usuario y redirigen el tráfico en Internet a través de un túnel VPN cifrado. Ese grado de «invisibilidad» ofrece mejoras directas de seguridad contra ataques informáticos, de privacidad frente al robo de datos y la apropiación de identidades, y otras ventajas añadidas. Pero, obviamente, no son infalibles.

KAERI, ¿ataque desde Corea del Norte?

Una de las direcciones IP descubiertas está vinculada a un grupo de piratas informáticos patrocinado por el estado norcoreano conocido como ‘Kimsuky’ que se cree que trabaja bajo la agencia de inteligencia de la Oficina General de Reconocimiento del país.

En octubre de 2020, CISA emitió una alerta sobre el grupo Kimsuky y declaró que «probablemente el régimen de Corea del Norte les ha asignado una misión de recopilación de inteligencia global». Más recientemente, Malwarebytes ha publicado un informe sobre cómo Kimsuky (también conocido como Thallium, Black Banshee y Velvet Chollima) ha estado apuntando activamente al gobierno de Corea del Sur utilizando la puerta trasera ‘AppleSeed’ en ataques de phishing.

También se han detectado campañas de ciberespionaje anteriores dirigidas a grupos de expertos y operadores de energía nuclear en Corea del Sur. Al Ministerio de Relaciones Exteriores, al Embajador de Sri Lanka ante el Estado, el Oficial de Seguridad Nuclear del Organismo Internacional de Energía Atómica (OIEA) y el Cónsul General Adjunto del Consulado General de Corea en Hong Kong, con la dirección IP mencionada anteriormente. utilizado para comunicaciones de comando y control (C2).

No está claro qué tipo de vulnerabilidad de VPN se aprovechó para violar la red interna de un organismo tan crítico como el que maneja la investigación y despliegue nuclear en Corea del Sur. Otra muestra de la necesidad de usar software y servicios completamente parcheados.

La entrada Hackean el Instituto de Investigación nuclear de Corea del Sur aprovechando un fallo en VPN es original de MuySeguridad. Seguridad informática.