Viện nghiên cứu hạt nhân Hàn Quốc bị tấn công bằng lỗ hổng VPN

Vụ vi phạm lần đầu tiên được báo cáo vào đầu tháng này khi hãng truyền thông Hàn Quốc Sisa Journal bắt đầu đưa tin về vụ tấn công. Vào thời điểm đó, Viện Nghiên cứu Năng lượng Nguyên tử Hàn Quốc (KAERI) xác nhận có xảy ra vụ tấn công, nhưng sau đó đã phủ nhận.

Ngày 18 tháng 6, trong một cuộc họp báo do KAERI tổ chức, Viện chính thức xác nhận vụ tấn công và xin lỗi vì đã cố gắng che đậy vụ việc.

KAERI tuyên bố, cuộc tấn công diễn ra vào ngày 14 tháng 6 sau khi tin tặc Triều Tiên xâm nhập mạng nội bộ của họ bằng cách khai thách lỗ hổng VPN.

Theo KAERI, họ đã cập nhật thiết bị VPN chưa được tiết lộ để sửa lỗ hổng bảo mật. Tuy nhiên, nhật ký truy cập cho thấy 13 địa chỉ IP trái phép khác nhau đã có quyền truy cập vào mạng nội bộ thông qua VPN.

Một trong những địa chỉ IP này có liên quan đến một nhóm hacker do nhà nước Triều Tiên tài trợ - Kimsuky - được cho là hoạt động dưới quyền của cơ quan tình báo Tổng cục Trinh sát Triều Tiên.

Vào tháng 10 năm 2020, Cơ quan An ninh cơ sở hạ tầng và mạng quốc gia (CISA)  đã đưa ra một cảnh báo về nhóm Kimsuky APT. Gần đây, Malwarebytes đã đưa ra một báo cáo về cách Kimsuky (còn gọi là Thallium, Black Banshee và Velvet Chollima) tích cực nhắm mục tiêu vào Chính phủ Hàn Quốc bằng cách sử dụng backdoor "AppleSeed" trong các cuộc tấn công lừa đảo.

KAERI cho biết, họ vẫn đang điều tra vụ tấn công để xác nhận thông tin nào đã được truy cập.