Cơ quan Nghiên cứu Hạt nhân của Hàn Quốc bị tấn công bằng lỗ hổng VPN

'Viện Nghiên cứu Năng lượng Nguyên tử Hàn Quốc' của Hàn Quốc hôm qua đã tiết lộ rằng mạng nội bộ của họ đã bị tấn công vào tháng trước bởi các kẻ đe dọa Triều Tiên bằng cách sử dụng lỗ hổng VPN.

Viện Nghiên cứu Năng lượng Nguyên tử Hàn Quốc, hay KAERI, là viện được chính phủ tài trợ cho việc nghiên cứu và ứng dụng năng lượng hạt nhân ở Hàn Quốc.

Vụ vi phạm lần đầu tiên được báo cáo vào đầu tháng này khi hãng truyền thông Hàn Quốc Sisa Journal  bắt đầu đưa tin về vụ tấn công. Vào thời điểm đó, KAERI ban đầu xác nhận và sau đó phủ nhận rằng cuộc tấn công đã xảy ra.

Trong một tuyên bố và cuộc họp báo do KAERI tổ chức ngày hôm qua, viện đã chính thức xác nhận vụ tấn công và xin lỗi vì đã cố gắng che đậy vụ việc.

KAERI tuyên bố cuộc tấn công diễn ra vào ngày 14 tháng 6 sau khi các kẻ đe dọa Triều Tiên xâm phạm mạng nội bộ của họ bằng cách sử dụng lỗ hổng VPN.

KAERI tuyên bố rằng họ đã cập nhật thiết bị VPN không được tiết lộ để sửa lỗ hổng. Tuy nhiên, nhật ký truy cập cho thấy 13 địa chỉ IP trái phép khác nhau đã có quyền truy cập vào mạng nội bộ thông qua VPN.

Một trong những địa chỉ IP này có liên quan đến một nhóm hack do nhà nước Triều Tiên tài trợ có tên 'Kimsuky' được cho là hoạt động dưới quyền của cơ quan tình báo Tổng cục Trinh sát Triều Tiên.

Vào tháng 10 năm 2020, CISA đã đưa ra cảnh báo về nhóm Kimsuky APT và tuyên bố rằng họ "có khả năng được chế độ Triều Tiên giao nhiệm vụ thu thập thông tin tình báo toàn cầu."

Gần đây hơn, Malwarebytes đã đưa ra một báo cáo về cách Kimsuky (còn gọi là Thallium, Black Banshee và Velvet Chollima) đã tích cực nhắm mục tiêu chính phủ Hàn Quốc bằng cách sử dụng cửa hậu 'AppleSeed' trong các cuộc tấn công lừa đảo.

"Một trong những chiêu dụ được Kimsuky sử dụng có tên là“ 외교부 가판 2021-05-07 ”trong tiếng Hàn dịch thành“ Phiên bản Bộ Ngoại giao 2021-05-07 ”cho thấy rằng nó đã được thiết kế để nhắm vào Bộ Ngoại giao của Hàn Quốc, " báo cáo của Malwarebytes giải thích về các hoạt động gần đây của kẻ đe dọa.

"Theo dữ liệu thu thập của chúng tôi, chúng tôi đã xác định rằng đó là một thực thể mà Kimsuky quan tâm nhiều."

Malwarebytes tuyên bố rằng Kimsuky đã nhắm mục tiêu vào các cơ quan chính phủ Hàn Quốc khác trong các cuộc tấn công lừa đảo gần đây, bao gồm:

• Bí thư thứ nhất Bộ Ngoại giao Hàn Quốc
• Bí thư thứ 2 Bộ ngoại giao Hàn Quốc
• Bộ trưởng thương mại
• Phó tổng lãnh sự tại Tổng lãnh sự quán Hàn Quốc tại Hồng Kông
• Cán bộ An ninh Hạt nhân của Cơ quan Năng lượng Nguyên tử Quốc tế (IAEA)
• Công sứ Đại sứ quán Sri Lanka tại Nhà nước
• Tham tán Bộ Ngoại giao và Thương mại

KAERI tuyên bố rằng họ vẫn đang điều tra vụ tấn công để xác nhận thông tin nào đã được truy cập.