朝鲜利用 VPN 漏洞入侵韩国核研究所

韩国国营的韩国原子能研究所 (KAERI) 周五披露，其内部网络已被在其北部同行之外开展活动的可疑攻击者渗透。

据称，这次入侵是在 5 月 14 日通过一家未具名的虚拟专用网络 (VPN) 供应商的漏洞进行的，涉及总共 13 个 IP 地址，其中一个——“27.102.114[.]89”——之前曾被与被称为Kimsuky的国家资助的威胁演员有关。

KAERI 成立于 1959 年，位于大田市，是一家政府资助的研究机构，设计和开发与反应堆、燃料棒、辐射聚变和核安全相关的核技术。

在入侵之后，智囊团表示已采取措施阻止攻击者的 IP 地址，并为易受攻击的 VPN 解决方案应用了必要的安全补丁。该实体在一份声明中说： “目前，原子能研究所正在调查黑客攻击的主题和损害程度。”

事态发展是在SISA Journal的一份报告中披露的，该报告披露了该漏洞，声称该机构试图通过否认发生此类事件来掩盖黑客攻击。KAERI 将其归咎于“工作层员工的反应错误”。

自 2012 年以来，Kimsuky（又名 Velvet Chollima、Black Banshee 或 Thallium）是一名朝鲜威胁演员，以其针对韩国智库和核电运营商的网络间谍活动而闻名。

本月早些时候，网络安全公司 Malwarebytes披露了攻击者通过安装名为 AppleSeed 的 Android 和 Windows 后门收集有价值信息来打击该国知名政府官员的一波攻击。

目标实体包括外交部、斯里兰卡驻该国大使馆大使、国际原子能机构（IAEA）核安全官员和韩国驻香港总领事馆副总领事，具有上述 IP 地址用于命令与控制 (C2) 通信。

目前尚不清楚是什么 VPN 漏洞被利用来破坏网络。但值得注意的是，来自Pulse Secure、SonicWall、Fortinet FortiOS 和 Citrix 的未打补丁的 VPN 系统近年来受到了多个威胁参与者的攻击。