El Instituto de Investigación de Energía Atómica de Corea (KAERI), administrado por Corea del sur, reveló el viernes pasado que su red interna fue comprometida por presuntos atacantes que operan desde Corea del norte.
Según la información suministrada la intrusión tuvo lugar el pasado 14 de mayo a través de una vulnerabilidad que involucró un total de 13 direcciones IP, una de las cuales, «27.102.114 [.] 89», ya se había vinculado a un un grupo de ciberdelincuentes apodado Kimsuky .
El Instituto de Investigación Nuclear de Corea está financiado por el gobierno y se encarga de diseñar y desarrollar tecnologías nucleares relacionadas con reactores, barras de combustible, fusión por radiación y seguridad nuclear.
Tras la intrusión, el grupo de expertos dijo que tomó medidas para bloquear las direcciones IP del atacante en cuestión y aplicó los parches de seguridad necesarios a la solución VPN vulnerable. «Currently, the Atomic Energy Research Institute is investigating the subject of the hacking and the amount of damage«, dijo la entidad en un comunicado.
Activo desde 2012, Kimsuky (también conocido como Velvet Chollima, Black Banshee o Thallium) es un grupo cibercriminal norcoreano conocido por sus campañas de ciberespionaje dirigidas a grupos de expertos y empresas de energía nuclear en Corea del Sur.
A principios de este mes, la empresa de ciberseguridad Malwarebytes reveló una ola de ataques cuyo objetivo era atacar a funcionarios gubernamentales instalando una puerta trasera en Android y Windows llamada AppleSeed para acumular información valiosa.
Otros objetivos fueron el Ministerio de Relaciones Exteriores, el Embajador de la Embajada de Sri Lanka ante el Estado, el Oficial de Seguridad Nuclear del Organismo Internacional de Energía Atómica (OIEA) y el Cónsul General Adjunto del Consulado General de Corea en Hong Kong, con la dirección IP mencionada anteriormente. utilizado para comunicaciones de comando y control (C2).
No está clara la vulnerabilidad de VPN que se aprovechó para vulnerar la red pero vale la pena señalar que los sistemas VPN sin parches de Pulse Secure , SonicWall , Fortinet FortiOS y Citrix han sido objeto de ataques por parte de múltiples grupos cibercriminales en los últimos años.
Deja una respuesta