Noord-Koreaanse groep LAZARUS – Veiligheidsbericht over cyberspionageactiviteiten

Een gezamenlijk veiligheidsbericht van de BfV en de NOS van 19 februari 2024 geeft informatie over Noord-Koreaanse cyberspionageactiviteiten tegen de defensie-industrie. Noord-Korea richt zich op het stelen van geavanceerde defensietechnologieën om zijn leger te versterken.

De nota bevat tactieken, technieken, procedures (TTP’s) en indicatoren van compromittering (IoC’s) van de DVK. Er worden twee gevallen van cyberaanvallen beschreven: een aanval op een onderzoekscentrum in de toeleveringsketen en social engineering-aanvallen door de LAZARUS-groep. De aanbevelingen leggen de nadruk op preventieve maatregelen en bewustmaking van dergelijke bedreigingen in de defensie-industrie en andere sectoren.

Het beveiligingsadvies beschrijft twee hoofdtypen cyberaanvallen door Noord-Koreaanse actoren:

Aanval op een onderzoekscentrum van de defensie-industrie

• Een Noord-Koreaanse cyber actor is het netwerk van een onderzoekscentrum voor maritieme en scheepvaarttechnologieën binnengedrongen door eerst een serviceprovider aan te vallen die verantwoordelijk is voor het onderhoud van de webserver van het centrum.
• De aanvaller gebruikte legitieme programma’s om schadelijke bestanden te downloaden van command-and-control (C2) servers, waaronder een tunnelling tool en een Base64-gecodeerd Python-script.
• Er was sprake van laterale beweging op het netwerk via SSH-verbindingen naar andere servers in het onderzoekscentrum, waarbij netwerkpakketten werden onderschept en inloggegevens werden gestolen.
• De aanvaller verkreeg de referenties van een beveiligingsmanager en probeerde een kwaadaardig patchbestand te verspreiden via het patchmanagementsysteem (PMS) van het onderzoekscentrum.

Social engineering-aanvallen door de LAZARUS-groep

• LAZARUS gebruikte social engineering, een niet-technische methode die misbruik maakt van menselijk vertrouwen en andere psychologische aspecten om gevoelige gegevens te verkrijgen.
• Het proces begon met het aanmaken van valse of gestolen profielen op online vacatureportalen die leken op die van een headhunter.
• LAZARUS zocht specifiek naar medewerkers van defensiebedrijven met toegang tot waardevolle bronnen en legde contact met hen via vacatureportalen.
• De aanvaller probeerde werknemers over te halen om van communicatieplatform te veranderen (bijv. WhatsApp, Telegram, Skype) en stuurde vervolgens schadelijke bestanden, vaak vermomd als vacatures of informatie over een functie.
• In sommige gevallen werden programmeertaken verstuurd als onderdeel van het veronderstelde wervingsproces, die malware installeerden wanneer ze werden uitgevoerd. In andere gevallen werden gemanipuleerde VPN-clients gebruikt om het bedrijfsnetwerk te infiltreren.

Deze tactieken laten de geavanceerde en diverse methoden zien die door Noord-Koreaanse cyberactoren worden gebruikt om gerichte aanvallen uit te voeren en beveiligingsmaatregelen te omzeilen.

Beveiligingsmaatregelen en best practices tegen social engineering-aanvallen

Om social engineering-aanvallen effectief te bestrijden, worden in de gezamenlijke beveiligingsmededeling van de BfV en de NOS verschillende maatregelen en best practices aanbevolen:

1. Regelmatige informatie voor werknemers: Het is belangrijk om werknemers voortdurend op de hoogte te houden van de nieuwste ontwikkelingen op het gebied van cyberaanvallen. Dit vergroot het begrip van de methoden die cyberactoren gebruiken en maakt een snelle reactie mogelijk in het geval van een inbraak in bedrijfssystemen.
2. Toegangsrechten beperken: Bij het gebruik van onderhouds- en reparatiediensten op afstand mogen alleen toegangsrechten worden toegekend voor de benodigde systemen. Zorgvuldige authenticatie voordat gebruikersautorisaties en -rechten worden toegewezen is essentieel.
3. Auditlogs: Bedrijven moeten auditlogs bijhouden en deze regelmatig controleren om ongebruikelijke toegang te identificeren en analyseren.
4. Patch Management System (PMS): Er moet een geschikte PMS-procedure worden opgesteld om gebruikersauthenticaties te verifiëren en geschikte verificatie- en goedkeuringsprocessen te implementeren voor de laatste distributiefase.
5. Gebruik van SSL/TLS: SSL/TLS moet altijd worden gebruikt bij het maken van websites om onrechtmatige toegang tot kritieke gegevens zoals gebruikersinformatie te voorkomen.
6. Multi-factorauthenticatie: Multi-factorauthenticatie wordt aanbevolen voor werknemers die thuis werken via VPN. Gevoelige informatie zoals eenmalige wachtwoorden (OTP) en verificatiesleutels moeten worden beschermd tegen doorgifte aan derden.
7. Voorlichting over social engineering-methoden: Werknemers moeten voorlichting krijgen over de meest voorkomende social engineering-methoden. Dit omvat bewustmaking van verdachte, met een wachtwoord beveiligde documenten of koppelingen en het creëren van een foutcultuur die werknemers aanmoedigt om beveiligingsincidenten te melden zonder bang te hoeven zijn voor repercussies.
8. Beperkende toewijzing van privileges: Om het risico op social engineering-aanvallen te minimaliseren, moeten privileges en toegangsrechten tot gevoelige gegevens zo restrictief mogelijk worden toegewezen.

• Over
• Laatste berichten

Duitse Advocaat Jens Ferner

Advocaat bij Advocatenkantoor Ferner Alsdorf

Ik ben een gespecialiseerde advocaat voor strafrecht + gespecialiseerde advocaat voor IT-recht en wijd mijn professionele leven volledig aan strafrechtelijke verdediging - en IT-recht als advocaat voor creatieve & digitale bedrijven en greentech. Voordat ik advocaat werd, was ik softwareontwikkelaar. Ik ben auteur in een gerenommeerd StPO-commentaar en in vakbladen.

Ons kantoor is gespecialiseerd in strafrechtelijke verdediging, witteboordenstrafrecht en IT-recht. Let op ons werk in kunstrecht, digitaal bewijs en softwarerecht.

Laatste berichten van Duitse Advocaat Jens Ferner (alles zien)

• Domeinrecht in Duitsland - mei 10, 2025
• Kunst en recht in Duitsland - mei 10, 2025
• Duitse merkenrecht - mei 10, 2025