Zuid-Koreaans nucleair agentschap werd gehackt via vpn-kwetsbaarheid

Het Korea Atomic Energy Research Institute bevestigt eerder deze maand getroffen te zijn door een hack. Via een vpn-kwetsbaarheid kregen onbevoegden toegang tot systemen van het nucleair agentschap. Het Kaeri onderzoekt nog waar de aanvallers toegang toe hadden.

Koreaanse media schreven vorige week al over de hack bij het nucleair agentschap, maar het Kaeri ontkende dat in eerste instantie. Inmiddels heeft het agentschap met een verklaring op zijn site bevestigd dat de hack inderdaad heeft plaatsgevonden. De ontkenning zou een fout zijn geweest van een medewerker.

Volgens de verklaring heeft het Kaeri in de logs van zijn systemen gezien dat er ongeoorloofde toegang is geweest op 14 juni. De aanvaller zou binnengekomen zijn via een vpn-kwetsbaarheid, maar om welke kwetsbaarheid of vpn het gaat, zegt het agentschap niet. Het Kaeri is het nationale nucleaire agentschap van Zuid-Korea, dat onderzoek doet naar nucleaire energie.

Na de ontdekking is het lek gedicht en het IP van de aanvaller geblokkeerd, aldus het agentschap. Het Kaeri doet met opsporingsinstanties onderzoek naar het voorval en zegt de grootte van de eventuele schade nog te moeten vaststellen. Waar de aanvallers toegang toe hadden, is niet bekend.

In een presentatie gaf het Kaeri meer details over de aanval, schrijft BleepingComputer. Daarin gaf het agentschap aan dat een gedetecteerd IP gelinkt is aan de hackersgroep Kimsuky, waar de overheid van Noord-Korea achter zou zitten.

Kaeri-presentatie
Kaeri-presentatie

Door Julian Huijbregts

Nieuwsredacteur

21-06-2021 • 09:56

26

Submitter: TheVivaldi

Reacties (26)

26
20
9
2
0
10
Wijzig sortering
om welke kwetsbaarheid of vpn het gaat, zegt het agentschap niet.
Hopelijk wordt dit wel gedeeld met de VPN-provider/developer, zodat anderen die kwetsbaarheid ook kunnen dichten.
Denk dat veel bedrijven die hun werknemers toegang geven via VPN even goed naar hun beveiliging moeten kijken.
Moet er inderdaad niet aan denken dat mensen hun thuis-pc via een VPN aan het bedrijfsnetwerk knopen. Vragen om ellende...
Valt wel mee, stap 1 is om enkel het verkeer wat echt nodig is toe te staan. Voorbeeld: RDP, TCP:3389.
Via RDP heb je dan nogmaals een authenticatie laag.

Beveiliging werkt in lagen (zie het als een ui). Iedere laag brengt extra beveiliging en je moet nooit vertrouwen op een enkele laag. Dan heb je geen ui maar een ei :+
Als hun thuis-pc geowned is en ze werken op de diepste isolatie laag dan doen al die andere isolatie lagen niks meer. Dan moet je maar bidden dat de intrusion detection software het oppikt ... de standaard IT aanpak.

De ui analogie zou eigenlijk nooit gebruikt mogen worden zonder erbij te zeggen "maar soms is het ook keten".

[Reactie gewijzigd door Pinkys Brain op 24 juli 2024 16:43]

Ja, als je inderdaad je thuis-pc direct aan je interne server netwerk gaat hangen dan werkt het niet inderdaad. Maar dat is ook niet de bedoeling natuurlijk.

Iedere VPN oplossing zet je standaard ook in aparte IP reeks zodat je juiste firewalling kan toepassen.
Ook de machine die je overneemt moet netjes in een afgeschermde reeks zitten die enkel bij de servers kan die nodig zijn. Je kan ook nog verder gaan, zo gebruiken sommige organisaties een bootable USB stick waarmee ze een VPN kunnen opzetten. Dan elimineer je het risico van de client computer ook weer (extra laag).

Ik ben trouwens persoonlijk geen voorstander van standaard VPN's hoor. Er zijn tegenwoordig betere oplossingen zoals conditional access, JIT Access en micro VPN's.
Welke rechten heb je nodig op de local endpoint om dit te kunnen opzetten? Welke rechten verkrijg je op de remote endpoint? Kan je met deze exploits een daisychain aan VPN's binnengeraken?
veel bedrijven
En alle bedrijven, zeker bedrijven in cruciale sectoren of waarbij de nationale en internationale veiligheid in geding komen...
even goed naar hun beveiliging moeten kijken
Daarbij zou ik opteren voor continue een hoog niveau van beveiliging, monitoren.

In dit geval (nucleair) zou ik persoonlijk overwegen helemaal geen vpn toe te passen, of in ieder geval zorgen dat kritische zaken geheel offline zijn.
Hoewel ik het in essentie wel met je eens ben is airgapping ook niet bulletproof zo lang je mensen op de werkvloer hebt: https://www.linkedin.com/...tence-viable-louie-cissp/
En uiteraard zijn er nog meer voorbeelden maar dit is er slechts eentje ter illustratie. Bovendien kun je een systeem wel airgappen maar vaak kom je dan in de penarie zodra er remote monitoring nodig is: ga je dan over een seriële verbinding statistieken sturen? Meestal kom je dan alsnog op een soort LAN uit een dan is een airgap alweer een stuk moeilijker om te behouden
Je kan nog beredeneren dat je basic monitoring wel een soort van zeer goed beveiligd online laat. Zolang je maar niet 'aan de knoppen' kan draaien.

En voor monitoring kun je ook andere systemen inzetten, wellicht ook niet 100% waterdicht maar ouderwetse pieper inzetten (hierover een custom statuscode als er iets is, zakboekje met de codes, verzint u het maar).
Een aanval van binnen door mensen die willens en wetens de netwerk beveiliging verknallen kom je natuurlijk nooit vanaf.

Een stuxnet aanval is niet relevant in 99% van de gevallen, data exfiltratie is moeilijk/langzaam en blind een netwerk platleggen met ransomware veel minder betrouwbaar dan door een hacker die eerst even rondkijkt en meteen wat data steelt als hij toch bezig is.

Je kan een firewall op een LAN verbinding zetten die niks anders doorlaat naar binnen dan wat nodig is om een bijna-eenrichting TCP verbinding op een poort te laten werken. Het is geen airgap, maar close enough.

[Reactie gewijzigd door Pinkys Brain op 24 juli 2024 16:43]

Blijft voor mij toch een raadsel waarom het nu noodzakelijk is / niet meer anders kan dan toch online te zijn, met of zonder firewall. Stekker eruit is geen connectie klaar.

Destijds zijn ze ook zonder internet naar de maan gevlogen, dat zou nog steeds moeten kunnen. Het hoeft niet zonder een vorm van communicatie maar het kan toch wel zonder het open internet.

Straks blijkt er een zero=day in de firewall te zitten als de knapen die nu naar de ruimte willen de lucht in gaan, drukken er een paar hackers op de knoppen en vliegen ze naar de zon zonder herstelmogelijkheden. Beetje kort door de bocht scenario maar ondenkbaar? En on-topic wat betreft nucleair het lijkt mij dat een actief nucleair gebeuren ook around-the-clock bemand is. Dan lijkt het mij ook niet onmogelijk om zonder internet te zitten (wel saai zonder spotify dat wel).
Anoniem: 454358 21 juni 2021 10:05
Nou gelukkig is het IP adres geblokkeerd, dat zal een hoop toekomstige schade schelen.
Toch curieus: "gezien dat er ongeoorloofde toegang is"
Waarom deze toegang dan niet geblokkeerd? Als je het kan detecteren kun je het ook repareren.
Het ip blokkeren van de aanvaller is in dit geval echt de beste oplossing... </sarcasme>
Alsof de hacker op zijn zolderkamertje via zijn eigen consumer IP een aanval initieert op een nucleair agentschap! 8)7
Safe world everyone!!
Dat was ook het eerste wat ik dacht, echter vermoed ik dat het gaat om het IP van de werknemer van KAERI die de VPN client draait. Goed, een beetje hacker is al lang binnen op die thuis-pc en kan waarschijnlijk wel een nieuw ip forceren van de provider in kwestie.
Veel te veel VPN apparaten die de laatste tijd ge-exploit zijn, daar hebben de westerse veiligheidsdiensten het gigantisch verknalt. Daar hadden veel betere certificaties en controles voor moeten wezen. Alle software mag brak zijn, als de VPN het maar goed doet.
Misschien is het wel een bestaande familienaam met een normale betekenis. Maar ja, jij bent zeker van het niveau dat ook krom ligt om bestaande plaatsnamen als Poepershoek…
https://nl.wikipedia.org/wiki/Poepershoek

En de familienaam ‘Poeper’ bestaat ook. En wat dacht je van de familienaam ‘Fokker’ - hilarisch zeker?

Ik bedoel maar te zeggen dat sommige namen soms niet echt lijken omdat ze er grappig uit zien, maar wel degelijk echt zijn. Dus misschien is dat met ‘Kimsuky’ ook wel zo.

[Reactie gewijzigd door TheVivaldi op 24 juli 2024 16:43]

Op dit item kan niet meer gereageerd worden.