韓国原子力研究院が VPN の欠陥を悪用した攻撃に遭っている

South Korea’s Nuclear Research agency hacked using VPN flaw

2021/06/19 BleepingComputer — この5月に韓国原子力研究院 (KAERI : Korea Atomic Energy Research Institute) は、VPN の脆弱性を悪用する北朝鮮の脅威アクターにより、内部ネットワークがハッキングされたと明らかにした。韓国原子力研究所(KAERI)は、同国における原子力の研究と応用を目的とした、政府が出資する機関である。

今月初めに韓国のメディア Sisa Journal が取材を開始したことで、今回の侵入は報じられた。当初、KAERI は攻撃の発生を認めたが、その後に否定した。しかし、6月18日に行われた記者会見において、KAERI は攻撃を正式に認め、事件を隠蔽したことを謝罪した。KAERI の説明によると、6月14日に北朝鮮の脅威アクターが VPN の脆弱性を悪用し、内部ネットワークに侵入し、攻撃が行われたとしている。

KAERI は、非公開の VPN デバイスをアップデートし、脆弱性を修正したとしている。しかし、アクセス・ログを見ると、13種類の不正な IP アドレスが VPN を経由して、内部ネットワークにアクセスしている。これらの IP アドレスのうちの1つは、北朝鮮の Reconnaissance General Bureau intelligence Agency に属するとされる、国家支援型ハッキンググループ Kimsuky と関連づけられる。

この記事によると、2020年10月に CISA は、APT グループである Kimsuky に関するアラートを発表し、「北朝鮮の政権からグローバル情報収集の任務を与えられている可能性が高い」 と述べたそうです。さらに最近の Malwarebytes のレポートでは、Kimsuky (別名 : Thallium / Black Banshee / Velvet Chollima) がフィッシング攻撃と AppleSeed バックドアにより、韓国政府を積極的に標的にしていると発表されています。

%d bloggers like this: