Zuid-Koreaans nucleair agentschap werd gehackt via vpn-kwetsbaarheid

Het Korea Atomic Energy Research Institute bevestigt eerder deze maand getroffen te zijn door een hack. Via een vpn-kwetsbaarheid kregen onbevoegden toegang tot systemen van het nucleair agentschap. Het Kaeri onderzoekt nog waar de aanvallers toegang toe hadden.

Koreaanse media schreven vorige week al over de hack bij het nucleair agentschap, maar het Kaeri ontkende dat in eerste instantie. Inmiddels heeft het agentschap met een verklaring op zijn site bevestigd dat de hack inderdaad heeft plaatsgevonden. De ontkenning zou een fout zijn geweest van een medewerker.

Volgens de verklaring heeft het Kaeri in de logs van zijn systemen gezien dat er ongeoorloofde toegang is geweest op 14 juni. De aanvaller zou binnengekomen zijn via een vpn-kwetsbaarheid, maar om welke kwetsbaarheid of vpn het gaat, zegt het agentschap niet. Het Kaeri is het nationale nucleaire agentschap van Zuid-Korea, dat onderzoek doet naar nucleaire energie.

Na de ontdekking is het lek gedicht en het IP van de aanvaller geblokkeerd, aldus het agentschap. Het Kaeri doet met opsporingsinstanties onderzoek naar het voorval en zegt de grootte van de eventuele schade nog te moeten vaststellen. Waar de aanvallers toegang toe hadden, is niet bekend.

In een presentatie gaf het Kaeri meer details over de aanval, schrijft BleepingComputer. Daarin gaf het agentschap aan dat een gedetecteerd IP gelinkt is aan de hackersgroep Kimsuky, waar de overheid van Noord-Korea achter zou zitten.

Kaeri-presentatie
Kaeri-presentatie

Door Julian Huijbregts

Nieuwsredacteur

Feedback • 21-06-2021 09:56
26 • submitter: TheVivaldi

21-06-2021 • 09:56

26

Submitter: TheVivaldi

Lees meer

Slachtoffers hack provincie Gelderland aangeraden nieuw paspoort aan te vragen
Slachtoffers hack provincie Gelderland aangeraden nieuw paspoort aan te vragen Nieuws van 5 september 2021
Personeelsgegevens van 1400 ambtenaren uit Gelderland zijn bij hack buitgemaakt
Personeelsgegevens van 1400 ambtenaren uit Gelderland zijn bij hack buitgemaakt Nieuws van 30 augustus 2021
Onderzoekers ontdekken reeks kwetsbaarheden die miljoenen Dell-apparaten treft
Onderzoekers ontdekken reeks kwetsbaarheden die miljoenen Dell-apparaten treft Nieuws van 24 juni 2021
Bedrijf dat actief is in nucleair-wapenprogramma is slachtoffer van ransomware
Bedrijf dat actief is in nucleair-wapenprogramma is slachtoffer van ransomware Nieuws van 15 juni 2021
Indiase kerncentrale besmet met mogelijk Noord-Koreaanse malware
Indiase kerncentrale besmet met mogelijk Noord-Koreaanse malware Nieuws van 1 november 2019
Meer producten en artikelen
Networking en security Hack Hackers Noord-korea Zuid-Korea

Reacties (26)

-Moderatie-faq
26
20
9
2
0
10
Wijzig sortering
Hopman42 21 juni 2021 11:10
om welke kwetsbaarheid of vpn het gaat, zegt het agentschap niet.
Hopelijk wordt dit wel gedeeld met de VPN-provider/developer, zodat anderen die kwetsbaarheid ook kunnen dichten.
YopY 21 juni 2021 10:07
Denk dat veel bedrijven die hun werknemers toegang geven via VPN even goed naar hun beveiliging moeten kijken.
Simon Weel @YopY21 juni 2021 10:31
Moet er inderdaad niet aan denken dat mensen hun thuis-pc via een VPN aan het bedrijfsnetwerk knopen. Vragen om ellende...
Anoniem: 1322 @Simon Weel21 juni 2021 11:34
Valt wel mee, stap 1 is om enkel het verkeer wat echt nodig is toe te staan. Voorbeeld: RDP, TCP:3389.
Via RDP heb je dan nogmaals een authenticatie laag.

Beveiliging werkt in lagen (zie het als een ui). Iedere laag brengt extra beveiliging en je moet nooit vertrouwen op een enkele laag. Dan heb je geen ui maar een ei :+
Pinkys Brain @Anoniem: 132221 juni 2021 15:47
Als hun thuis-pc geowned is en ze werken op de diepste isolatie laag dan doen al die andere isolatie lagen niks meer. Dan moet je maar bidden dat de intrusion detection software het oppikt ... de standaard IT aanpak.

De ui analogie zou eigenlijk nooit gebruikt mogen worden zonder erbij te zeggen "maar soms is het ook keten".

[Reactie gewijzigd door Pinkys Brain op 24 juli 2024 16:43]

Anoniem: 1322 @Pinkys Brain22 juni 2021 12:14
Ja, als je inderdaad je thuis-pc direct aan je interne server netwerk gaat hangen dan werkt het niet inderdaad. Maar dat is ook niet de bedoeling natuurlijk.

Iedere VPN oplossing zet je standaard ook in aparte IP reeks zodat je juiste firewalling kan toepassen.
Ook de machine die je overneemt moet netjes in een afgeschermde reeks zitten die enkel bij de servers kan die nodig zijn. Je kan ook nog verder gaan, zo gebruiken sommige organisaties een bootable USB stick waarmee ze een VPN kunnen opzetten. Dan elimineer je het risico van de client computer ook weer (extra laag).

Ik ben trouwens persoonlijk geen voorstander van standaard VPN's hoor. Er zijn tegenwoordig betere oplossingen zoals conditional access, JIT Access en micro VPN's.
Skiddie @YopY21 juni 2021 10:45
Welke rechten heb je nodig op de local endpoint om dit te kunnen opzetten? Welke rechten verkrijg je op de remote endpoint? Kan je met deze exploits een daisychain aan VPN's binnengeraken?
7ven @YopY21 juni 2021 11:23
veel bedrijven
En alle bedrijven, zeker bedrijven in cruciale sectoren of waarbij de nationale en internationale veiligheid in geding komen...
even goed naar hun beveiliging moeten kijken
Daarbij zou ik opteren voor continue een hoog niveau van beveiliging, monitoren.

In dit geval (nucleair) zou ik persoonlijk overwegen helemaal geen vpn toe te passen, of in ieder geval zorgen dat kritische zaken geheel offline zijn.
DJFliX @7ven21 juni 2021 11:39
Hoewel ik het in essentie wel met je eens ben is airgapping ook niet bulletproof zo lang je mensen op de werkvloer hebt: https://www.linkedin.com/...tence-viable-louie-cissp/
En uiteraard zijn er nog meer voorbeelden maar dit is er slechts eentje ter illustratie. Bovendien kun je een systeem wel airgappen maar vaak kom je dan in de penarie zodra er remote monitoring nodig is: ga je dan over een seriële verbinding statistieken sturen? Meestal kom je dan alsnog op een soort LAN uit een dan is een airgap alweer een stuk moeilijker om te behouden
7ven @DJFliX21 juni 2021 12:34
Je kan nog beredeneren dat je basic monitoring wel een soort van zeer goed beveiligd online laat. Zolang je maar niet 'aan de knoppen' kan draaien.

En voor monitoring kun je ook andere systemen inzetten, wellicht ook niet 100% waterdicht maar ouderwetse pieper inzetten (hierover een custom statuscode als er iets is, zakboekje met de codes, verzint u het maar).
Pinkys Brain @DJFliX21 juni 2021 12:43
Een aanval van binnen door mensen die willens en wetens de netwerk beveiliging verknallen kom je natuurlijk nooit vanaf.

Een stuxnet aanval is niet relevant in 99% van de gevallen, data exfiltratie is moeilijk/langzaam en blind een netwerk platleggen met ransomware veel minder betrouwbaar dan door een hacker die eerst even rondkijkt en meteen wat data steelt als hij toch bezig is.

Je kan een firewall op een LAN verbinding zetten die niks anders doorlaat naar binnen dan wat nodig is om een bijna-eenrichting TCP verbinding op een poort te laten werken. Het is geen airgap, maar close enough.

[Reactie gewijzigd door Pinkys Brain op 24 juli 2024 16:43]

7ven @Pinkys Brain22 juni 2021 15:09
Blijft voor mij toch een raadsel waarom het nu noodzakelijk is / niet meer anders kan dan toch online te zijn, met of zonder firewall. Stekker eruit is geen connectie klaar.

Destijds zijn ze ook zonder internet naar de maan gevlogen, dat zou nog steeds moeten kunnen. Het hoeft niet zonder een vorm van communicatie maar het kan toch wel zonder het open internet.

Straks blijkt er een zero=day in de firewall te zitten als de knapen die nu naar de ruimte willen de lucht in gaan, drukken er een paar hackers op de knoppen en vliegen ze naar de zon zonder herstelmogelijkheden. Beetje kort door de bocht scenario maar ondenkbaar? En on-topic wat betreft nucleair het lijkt mij dat een actief nucleair gebeuren ook around-the-clock bemand is. Dan lijkt het mij ook niet onmogelijk om zonder internet te zitten (wel saai zonder spotify dat wel).
Anoniem: 454358 21 juni 2021 10:05
Nou gelukkig is het IP adres geblokkeerd, dat zal een hoop toekomstige schade schelen.
janbaarda @Anoniem: 45435821 juni 2021 17:00
Toch curieus: "gezien dat er ongeoorloofde toegang is"
Waarom deze toegang dan niet geblokkeerd? Als je het kan detecteren kun je het ook repareren.
paradoxdesign 21 juni 2021 10:05
Het ip blokkeren van de aanvaller is in dit geval echt de beste oplossing... </sarcasme>
Alsof de hacker op zijn zolderkamertje via zijn eigen consumer IP een aanval initieert op een nucleair agentschap! 8)7
Safe world everyone!!
PizZa_CalZone @paradoxdesign21 juni 2021 11:54
Dat was ook het eerste wat ik dacht, echter vermoed ik dat het gaat om het IP van de werknemer van KAERI die de VPN client draait. Goed, een beetje hacker is al lang binnen op die thuis-pc en kan waarschijnlijk wel een nieuw ip forceren van de provider in kwestie.
spronoc 21 juni 2021 10:23
Het is wellicht interessant om te weten dat KAERI betrokken is bij de ombouw van de onderzoekscentrale in Delft.

Bronnen.
Pinkys Brain 21 juni 2021 12:33
Veel te veel VPN apparaten die de laatste tijd ge-exploit zijn, daar hebben de westerse veiligheidsdiensten het gigantisch verknalt. Daar hadden veel betere certificaties en controles voor moeten wezen. Alle software mag brak zijn, als de VPN het maar goed doet.
AuteurXtuv @Jackie Moon21 juni 2021 10:11
https://us-cert.cisa.gov/ncas/alerts/aa20-301a
https://blog.malwarebytes...using-appleseed-backdoor/
https://securelist.com/th...a-north-korean-apt/57915/ (al in 2013)

Natuurlijk is dat is verzonnen door 'DPG Media' :z
TheVivaldi @Jackie Moon21 juni 2021 10:45
Misschien is het wel een bestaande familienaam met een normale betekenis. Maar ja, jij bent zeker van het niveau dat ook krom ligt om bestaande plaatsnamen als Poepershoek…
https://nl.wikipedia.org/wiki/Poepershoek

En de familienaam ‘Poeper’ bestaat ook. En wat dacht je van de familienaam ‘Fokker’ - hilarisch zeker?

Ik bedoel maar te zeggen dat sommige namen soms niet echt lijken omdat ze er grappig uit zien, maar wel degelijk echt zijn. Dus misschien is dat met ‘Kimsuky’ ook wel zo.

[Reactie gewijzigd door TheVivaldi op 24 juli 2024 16:43]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq