Власти Южной Кореи сообщили, что северокорейские хакеры проникли в сеть Научно-исследовательского института атомной энергии (KAERI), который занимается исследованиями в области ядерной энергетики и ядерного топлива.
На официальной пресс-конференции было объявлено, что инцидент произошел еще в прошлом месяце, 14 мая 2021 года, и злоумышленники взломали KAERI через уязвимость в неназванном VPN-сервере. Согласно логам, с помощью этого бага доступ к сети организации получили тринадцать различных IP-адресов, и один из них (27.102.114[.]89) оказался связан с инфраструктурой, которую использует северокорейская хак-группа Kimsuky (она же Thallium, Black Banshee и Velvet Chollima).
Нужно сказать, что совсем недавно эксперты Malwarebytes обнародовали отчет, в котором описывали таргетированную фишинговую кампанию Kimsuky, нацеленную на несколько южнокорейских государственных структур, включая Министерство иностранных дел, Министерство торговли, а также на сотрудника Международного агентства по атомной энергии (МАГАТЭ). Исследователи отмечали, что хакеры активно применяют бэкдор AppleSeed в своих атаках.
KAERI провела пресс-конференцию и сообщила о случившемся официально лишь после того, как новость о взломе просочились в СМИ еще в начале июня, и изначально представители НИИ отрицали эту информацию. Теперь представители организации приносят извинения за попытку скрыть инцидент от общественности.
В настоящее время специалисты KAERI и правоохранительные органы все еще расследуют атаку и пока не могут сообщить, к какой именно информации хакеры получили доступ.