遭北韓三大駭客組織聯合發動網攻　韓國10家國防公司受害

韓國警察廳國家偵查本部安保偵查局在 4 月 23 日公佈與國家網路危機管理團合作調查的結果，發現至少自約一年半前開始，遭到聯合國安理會制裁的北韓三大駭客組織 Kimsuky、Lazarus Group、Andariel 首次聯手對韓國發動駭客攻擊，目標是竊取韓國的國防技術。

北韓駭客會依攻擊目標分工　首次聯合發動攻擊

據悉韓國 83 家國防公司當中有約10 家受害。警方表示，目前已知北韓駭客組織會針對攻擊對象進行分工，Kimsuky 主要攻擊政府機構和政治家，Lazarus 攻擊金融機構，Andariel 則負責攻擊軍隊和國防機構等。

然而，透過這次的偵查發現，他們幾乎在同一時期以相同的目的聯合進行全方位的攻擊。

這些北韓駭客組織主要會直接攻擊國防企業，但他們也會駭入資安防護較為薄弱的國防合作單位，竊取伺服器帳號資訊，再滲透進主要伺服器植入惡意代碼。

多種攻擊手法

例如，Lazarus 在 2022 年11 月左右，駭入國防產業 A 公司的外部網路伺服器並植入惡意代碼，接著經過測試用的系統端口，控制公司的內部網路。然後，他們再從連接內部網路的電腦，包含開發團隊員工的電腦，蒐集了重要文件，並將其轉移到國外的雲端伺服器。

Andariel 則自 2022 年 10 月開始，盜取為國防合作企業 B 公司提供遠端維護服務的 C 公司的帳號資訊，從而在 B 公司伺服器內植入惡意代碼，竊取了國防技術資料。

而 Kimsuky 在 2023 年 4 至 7 月期間，利用國防合作企業 D 公司的電子郵件伺服器的漏洞，在無需登入的情況下，從外部竊取並下載透過電子郵件傳送和接收的大容量文件。

警方根據使用的 IP 位址、惡意代碼以及利用軟體漏洞建立中繼伺服器（跳板）的手法，判斷這些駭客攻擊是北韓的駭客組織所為。

還發現其中某個用來駭客攻擊的中國瀋陽 IP 位址，與 2014 年針對韓國水電與核電公司的駭客攻擊中使用的 IP 位址是相同的。北韓經常送駭客到位於中朝邊境的瀋陽培訓。

韓國警方表示，這些網路攻擊至少從一年半以前就開始了，但難以掌握具體的攻擊期間和整體受害規模。由於涉及國家安全問題，警方未透露北韓企圖竊取的國防技術的具體內容，以及是否有國家戰略技術外泄的狀況。

延伸閱讀：韓國國防工業訂單成長5.8倍　高CP值與歐美競爭市場

金正恩指示的北韓駭客總體戰

此外，警方強調，經過調查發現北韓在「竊取韓國國防技術」這個共同目的下，投入了多個駭客組織以總體戰的方式發動了攻擊。韓國警方認為背後是受到了北韓總書記金正恩的具體指示。

另一方面，受到攻擊的企業大多在警方開始調查之前都沒有發覺遭到攻擊，暴露出整個韓國國防產業界的資安防護有所疏漏。因此，鑑於北韓駭客組織的網路攻擊仍將持續不斷。

韓國警方建議國防公司及合作夥伴應將內部網路與外部網路隔離開來，並定期更改電子郵件密碼以及採取兩步驟驗證。

韓國警方也將與防衛事業廳簽訂工作合作協議，安排國防企業及其合作企業加強資安防護措施。

相關報導：
2024/03/05　北韓駭入韓國半導體設備公司　竊取設計圖
2023/12/08　韓美聯合調查　北韓駭客竊取韓國雷射武器技術文件
2023/10/20　美韓警示IT企業勿雇用假冒國籍的北韓人　避免間接協助發展核武
2023/09/29　美日政府聯名示警　慎防中國駭客入侵路由器
2023/05/19　3成偷自日本　日本加密貨幣業者被北韓駭客當肥羊
2023/03/05　伺機而動：北韓駭客假造國籍潛伏在美日IT企業工作
2021/07/02　金正恩：要做新武器！北韓駭客駭入南韓國防產業盜技術

延伸閱讀：韓國國情院：北韓 IT 組織　韓國賭博網站的幕後黑手

參考新聞連結：
2024/04/23　경찰청·방위사업청 등 관계기관 합동 특별점검을 통해 북한의 케이(K)-방산업체 해킹 공격 규명 및 보호조치 실시
2024/04/23　연합뉴스　北 3개 해킹조직 힘 합쳐 국내 방산업체 총공격…10여곳 피해
2024/04/24　中央日報　北朝鮮３大ハッキング組織が合同攻撃、韓国防衛産業１０社に被害