L’Agence nationale de la police sud-coréenne a émis aujourd’hui un avertissement urgent concernant des groupes de piratage nord-coréens ciblant des entités de l’industrie de la défense pour voler des informations technologiques précieuses.
La police a découvert plusieurs cas de violations réussies d’entreprises de défense en Corée du Sud impliquant les groupes de piratage Lazarus, Andariel et Kimsuky, qui font tous partie de l’appareil de piratage nord-coréen.
Selon l’annonce, les attaquants ont violé les organisations en exploitant les vulnérabilités des environnements des cibles ou de leurs sous-traitants pour installer des logiciels malveillants capables d’exfiltrer des données.
L’Agence nationale de police et l’Administration du Programme d’acquisition de la Défense ont effectué une inspection spéciale plus tôt cette année entre le 15 janvier et le 16 février et ont mis en œuvre des mesures de protection pour sécuriser les réseaux critiques.
Cette opération spéciale a permis de découvrir plusieurs entreprises qui avaient été compromises depuis la fin de 2022, mais qui n’étaient pas au courant de la violation jusqu’à ce que les autorités les en informent.
Attaques diverses
Le rapport de police met en évidence trois cas impliquant chacun des groupes de piratage mentionnés, présentant des méthodes d’attaque à multiples facettes visant à voler des technologies de défense.
Les pirates de Lazarus ont exploité des systèmes de connexion réseau mal gérés conçus pour les tests et ont pénétré les réseaux internes d’une entreprise de défense depuis novembre 2022.
Après avoir infiltré le réseau, ils ont rassemblé des données critiques stockées dans au moins six des ordinateurs de l’entreprise et les ont transférées sur un serveur cloud à l’étranger.
La deuxième attaque a été attribuée au groupe Andariel, qui a volé des informations de compte à un employé d’une société de maintenance qui desservait des sous-traitants de la défense.
En utilisant ce compte volé en octobre 2022, ils ont installé des logiciels malveillants sur les serveurs de ces sous-traitants, entraînant d’importantes fuites de données techniques liées à la défense.
Cette infiltration du réseau a été encore exacerbée par le fait que les employés utilisaient les mêmes mots de passe pour les comptes personnels et professionnels.
Une troisième attaque mise en évidence dans l’avis de la police, Kimsuky a exploité une vulnérabilité dans le serveur de messagerie d’un sous-traitant de la défense entre avril et juillet 2023, qui permettait de télécharger des fichiers volumineux sans avoir besoin de s’authentifier.
Cette vulnérabilité a été utilisée pour télécharger et voler d’importantes données techniques sur le serveur interne de l’entreprise.
La police coréenne recommande aux entreprises de défense et à leurs sous-traitants d’améliorer la segmentation de la sécurité du réseau, les réinitialisations périodiques des mots de passe, la mise en place d’une authentification à deux facteurs sur tous les comptes critiques et le blocage des accès IP étrangers.