Categorieën
Cybercrime & Cybersecurity

Noord-Koreaanse groep LAZARUS – Veiligheidsbericht over cyberspionageactiviteiten

Een gezamenlijk veiligheidsbericht van de BfV en de NOS van 19 februari 2024 geeft informatie over Noord-Koreaanse cyberspionageactiviteiten tegen de defensie-industrie. Noord-Korea richt zich op het stelen van geavanceerde defensietechnologieën om zijn leger te versterken.

De nota bevat tactieken, technieken, procedures (TTP’s) en indicatoren van compromittering (IoC’s) van de DVK. Er worden twee gevallen van cyberaanvallen beschreven: een aanval op een onderzoekscentrum in de toeleveringsketen en social engineering-aanvallen door de LAZARUS-groep. De aanbevelingen leggen de nadruk op preventieve maatregelen en bewustmaking van dergelijke bedreigingen in de defensie-industrie en andere sectoren.

Cyberkriminalität in Nordkorea und die Bedrohung der Kryptowährungsindustrie

Het beveiligingsadvies beschrijft twee hoofdtypen cyberaanvallen door Noord-Koreaanse actoren:

Aanval op een onderzoekscentrum van de defensie-industrie

  • Een Noord-Koreaanse cyber actor is het netwerk van een onderzoekscentrum voor maritieme en scheepvaarttechnologieën binnengedrongen door eerst een serviceprovider aan te vallen die verantwoordelijk is voor het onderhoud van de webserver van het centrum.
  • De aanvaller gebruikte legitieme programma’s om schadelijke bestanden te downloaden van command-and-control (C2) servers, waaronder een tunnelling tool en een Base64-gecodeerd Python-script.
  • Er was sprake van laterale beweging op het netwerk via SSH-verbindingen naar andere servers in het onderzoekscentrum, waarbij netwerkpakketten werden onderschept en inloggegevens werden gestolen.
  • De aanvaller verkreeg de referenties van een beveiligingsmanager en probeerde een kwaadaardig patchbestand te verspreiden via het patchmanagementsysteem (PMS) van het onderzoekscentrum.
Hackeraktivitäten und Spionage aus China

Social engineering-aanvallen door de LAZARUS-groep

  • LAZARUS gebruikte social engineering, een niet-technische methode die misbruik maakt van menselijk vertrouwen en andere psychologische aspecten om gevoelige gegevens te verkrijgen.
  • Het proces begon met het aanmaken van valse of gestolen profielen op online vacatureportalen die leken op die van een headhunter.
  • LAZARUS zocht specifiek naar medewerkers van defensiebedrijven met toegang tot waardevolle bronnen en legde contact met hen via vacatureportalen.
  • De aanvaller probeerde werknemers over te halen om van communicatieplatform te veranderen (bijv. WhatsApp, Telegram, Skype) en stuurde vervolgens schadelijke bestanden, vaak vermomd als vacatures of informatie over een functie.
  • In sommige gevallen werden programmeertaken verstuurd als onderdeel van het veronderstelde wervingsproces, die malware installeerden wanneer ze werden uitgevoerd. In andere gevallen werden gemanipuleerde VPN-clients gebruikt om het bedrijfsnetwerk te infiltreren.

Deze tactieken laten de geavanceerde en diverse methoden zien die door Noord-Koreaanse cyberactoren worden gebruikt om gerichte aanvallen uit te voeren en beveiligingsmaatregelen te omzeilen.

2024-02-19-joint-cyber-security-advisory-deutschHerunterladen

Beveiligingsmaatregelen en best practices tegen social engineering-aanvallen

Om social engineering-aanvallen effectief te bestrijden, worden in de gezamenlijke beveiligingsmededeling van de BfV en de NOS verschillende maatregelen en best practices aanbevolen:

  1. Regelmatige informatie voor werknemers: Het is belangrijk om werknemers voortdurend op de hoogte te houden van de nieuwste ontwikkelingen op het gebied van cyberaanvallen. Dit vergroot het begrip van de methoden die cyberactoren gebruiken en maakt een snelle reactie mogelijk in het geval van een inbraak in bedrijfssystemen.
  2. Toegangsrechten beperken: Bij het gebruik van onderhouds- en reparatiediensten op afstand mogen alleen toegangsrechten worden toegekend voor de benodigde systemen. Zorgvuldige authenticatie voordat gebruikersautorisaties en -rechten worden toegewezen is essentieel.
  3. Auditlogs: Bedrijven moeten auditlogs bijhouden en deze regelmatig controleren om ongebruikelijke toegang te identificeren en analyseren.
  4. Patch Management System (PMS): Er moet een geschikte PMS-procedure worden opgesteld om gebruikersauthenticaties te verifiëren en geschikte verificatie- en goedkeuringsprocessen te implementeren voor de laatste distributiefase.
  5. Gebruik van SSL/TLS: SSL/TLS moet altijd worden gebruikt bij het maken van websites om onrechtmatige toegang tot kritieke gegevens zoals gebruikersinformatie te voorkomen.
  6. Multi-factorauthenticatie: Multi-factorauthenticatie wordt aanbevolen voor werknemers die thuis werken via VPN. Gevoelige informatie zoals eenmalige wachtwoorden (OTP) en verificatiesleutels moeten worden beschermd tegen doorgifte aan derden.
  7. Voorlichting over social engineering-methoden: Werknemers moeten voorlichting krijgen over de meest voorkomende social engineering-methoden. Dit omvat bewustmaking van verdachte, met een wachtwoord beveiligde documenten of koppelingen en het creëren van een foutcultuur die werknemers aanmoedigt om beveiligingsincidenten te melden zonder bang te hoeven zijn voor repercussies.
  8. Beperkende toewijzing van privileges: Om het risico op social engineering-aanvallen te minimaliseren, moeten privileges en toegangsrechten tot gevoelige gegevens zo restrictief mogelijk worden toegewezen.
Duitse Advocaat Jens Ferner
Duitse Advocaat Jens Ferner
Advocaat bij Advocatenkantoor Ferner Alsdorf
Advocaat Jens Ferner is een ervaren en zeer gespecialiseerde gespecialiseerd advocaat in strafrecht en gespecialiseerd advocaat in IT-recht met meer dan tien jaar beroepservaring. Hij legt zich volledig toe op zijn werk als strafrechtadvocaat en IT-recht , gespecialiseerd in cybercriminaliteit, cybersecurity, softwarerecht en manager aansprakelijkheid. Hij is gecertificeerd expert op het gebied van crisiscommunicatie en cyberbeveiliging en auteur van artikelen in vakbladen en een gerenommeerd commentaar op het StPO (Duits wetboek van strafvordering) over IT-strafrecht en het Europees Openbaar Ministerie. Als softwareontwikkelaar is hij gecertificeerd in Python en heeft hij IT-handboeken geschreven.

Bereikbaarheid: via e-mail, terugbellen, Threema of Whatsapp. Informatie over onze kosten.
Ons advocatenkantoor is gespecialiseerd in strafrechtelijke verdediging, cybercriminaliteit, economisch strafrecht en fiscaal strafrecht en IT-recht en manager aansprakelijkheid. Wij nemen alleen strafrechtelijke verdedigingen van consumenten aan. Wij zijn gevestigd in de regio Aken en zijn actief in heel Duitsland.
Duitse Advocaat Jens Ferner
Laatste berichten van Duitse Advocaat Jens Ferner (alles zien)

Door Duitse Advocaat Jens Ferner

Advocaat Jens Ferner is een ervaren en zeer gespecialiseerde gespecialiseerd advocaat in strafrecht en gespecialiseerd advocaat in IT-recht met meer dan tien jaar beroepservaring. Hij legt zich volledig toe op zijn werk als strafrechtadvocaat en IT-recht , gespecialiseerd in cybercriminaliteit, cybersecurity, softwarerecht en manager aansprakelijkheid. Hij is gecertificeerd expert op het gebied van crisiscommunicatie en cyberbeveiliging en auteur van artikelen in vakbladen en een gerenommeerd commentaar op het StPO (Duits wetboek van strafvordering) over IT-strafrecht en het Europees Openbaar Ministerie. Als softwareontwikkelaar is hij gecertificeerd in Python en heeft hij IT-handboeken geschreven.

Bereikbaarheid: via e-mail, terugbellen, Threema of Whatsapp. Informatie over onze kosten.
Ons advocatenkantoor is gespecialiseerd in strafrechtelijke verdediging, cybercriminaliteit, economisch strafrecht en fiscaal strafrecht en IT-recht en manager aansprakelijkheid. Wij nemen alleen strafrechtelijke verdedigingen van consumenten aan. Wij zijn gevestigd in de regio Aken en zijn actief in heel Duitsland.