朝鲜黑客利用VPN漏洞侵入韩国原子能研究所

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

近日，韩国议会情报委员会的一名成员披露了一起严重的网络安全事件：朝鲜黑客通过利用虚拟私人网络（VPN）的漏洞，成功入侵了韩国原子能研究所（KAERI）。这一消息最初由韩国媒体《时事杂志》在本月早些时候报道。

KAERI：核能研究的关键机构

KAERI是韩国政府资助的一个研究机构，专注于核能在该国的应用，包括反应堆和燃料棒的研究。作为国家重要的科研机构，KAERI的安全防护至关重要。

安全漏洞的发现与掩盖

此次安全漏洞是在5月31日被发现的。起初，该国立机构试图掩盖这次安全漏洞，但随后在新闻发布会上道歉，并将错误归咎于“工作层面的员工”。

尽管目前尚不清楚朝鲜黑客具体利用了哪种VPN漏洞，但可以肯定的是，这样的入侵行为对国家安全构成了严重威胁。反对派议员河泰庆指出，如果任何信息泄露给朝鲜，后果不堪设想。

Kimsuky组织的背后黑手

韩国网络安全专家追踪到5月14日发生的这起黑客攻击事件与13个IP地址有关，其中一个IP地址曾被国家支持的黑客组织Kimsuky使用过。这个也被称为Velvet Chollima、HIDDEN COBRA、Black Banshee或Thallium的组织隶属于朝鲜侦察总局的情报机构。

Kimsuky以其针对美国、韩国和日本的高级持续性威胁行动而闻名，主要目标是获取关于外交政策、半岛问题、核政策及制裁等方面的机密情报。据称，该组织还负责最近针对高层政府官员的AppleSeed木马攻击。

持续不断的攻击

网络安全公司IssueMakersLab表示，朝鲜黑客几乎每天都试图访问韩国的政府和教育系统。路透社此前也曾报道，2016年朝鲜黑客对几家韩国银行、一个核电站以及国防部发起了类似的网络攻击。

此外，中国世宗研究所、韩国统一部以及韩国国防分析研究所（KIDA）也都曾遭受Kimsuky的入侵。

VPN漏洞成为新的突破口

尽管韩国官方没有透露具体的VPN漏洞细节，但研究所向公众保证已成功封锁了相关IP地址并修补了漏洞。近年来，Fortinet FortiOS、Pulse Secure Connect、SonicWall和Citrix等流行的VPN系统都至少遭遇过一次关键的漏洞利用，这些漏洞通常被俄罗斯、中国、伊朗或朝鲜黑客所利用。

值得注意的是，Pulse Secure VPN的一个高危漏洞CVE-2021-22893（CVSS评分为满分10分）就被政治动机的威胁者用来渗透欧洲和美国的防御网络。此次利用VPN漏洞进行初始访问的行为可能标志着Kimsuky操作方式的重大转变，因为该组织以往更多依赖鱼叉式网络钓鱼和社会工程学手段。

应对措施与零信任策略

Blue Hexagon公司的联合创始人兼CTO Saumitra Das评论说：“这类攻击之所以难以解决，是因为大家往往关注事后补救而非早期检测。”他指出，在近几个月中，通过利用安全供应商设备软件中的CVEs来攻击“安全供应链”的情况有所增加。他还强调，预防性的技术常常无法阻止此类攻击，因此早期检测和事件响应变得尤为重要。

YouAttest的CEO Garret Grajek则认为，“Colonial Pipelines”事件是一个警示，提醒我们关键基础设施对网络攻击的脆弱性。“仅仅满足合规性还不够——我们必须确保我们的合规努力同时符合实际的安全目标。”

Grajek指出，威胁者经常扫描所有系统的安全漏洞，尤其是能源和水资源等关键基础设施，它们往往是极具吸引力的目标。“我们需要假设攻击者会找到漏洞并获得进入我们系统的机会。那么我们授予远程用户的权限是什么？他们拥有哪些访问权？一旦恶意用户获得访问权限，可能会造成多大的损害？”Grajek补充道，“这就是零信任概念的重要性所在，以及其背后的审计机制。”

面对不断升级的网络威胁，加强安全防范意识、采用先进的监测技术和实施严格的访问控制策略显得尤为重要。只有这样，才能有效抵御来自世界各地的网络攻击，保护国家的核心利益不受侵害。

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友加入沟通交流。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：朝鲜黑客利用VPN漏洞侵入韩国原子能研究所