Sikkerhetsbyråer over hele verden har utstedt en advarsel om datasikkerhet som omhandler Nord-Koreas statssponsede kybergruppe, Andariel.
Denne gruppen, som opererer fra Pyongyang og Sinuiju, er kjent for å angripe forsvars-, romfarts-, kjernefysikk- og ingeniørsektorer for å stjele sensitiv og klassifisert teknologisk informasjon og intellektuell eiendom. Disse handlingene sikter mot å fremme Nord-Koreas militære og atomvåpenkapasiteter. Dette melder Industrial Cyber.
Ifølge rådgivningen fra blant annet FBI, Cybersecurity and Infrastructure Security Agency (CISA) og Storbritannias National Cyber Security Centre (NCSC), skaffer aktørene seg først tilgang til webservere ved å utnytte kjente sårbarheter i programvare, som ‘Log4j’, for å injisere skadelig kode og få adgang til sensitiv informasjon og systemer for videre utnyttelse.
Hackerne benytter seg av teknikker som systemoppdagelse og privilegiumseskalering ved hjelp av velkjente verktøy som Mimikatz, samt skreddersydd skadevare og fjernstyringsverktøy for å kunne stjele kritisk data.
Andariel-hackerne utfører også phishing-aktiviteter ved å bruke ondsinnede vedlegg, inkludert Microsoft Windows snarveifiler (LNK) eller HTML-applikasjonsskriptfiler (HTA) inne i krypterte eller ukrypterte zip-arkiver.
Les også: Google: Slik infiltrerer Kina USAs kritiske infrastruktur
Det er også avslørt at gruppen finansierer sin spionasjeverksomhet gjennom løsepengevirusangrep mot amerikanske helseinstitusjoner. I noen tilfeller har man observert at aktørene lanserer både løsepengevirusangrep og spionasjeforsøk samme dag, eller mot samme mål.
De bruker Windows-kommandolinje, PowerShell, Windows Management Instrumentation-kommandolinje (WMIC) og Linux bash for å kartlegge systemer, nettverk og brukerkontoer. De gjør også ofte skrivefeil og andre feil, noe som tyder på at kommandoene ikke er direkte kopiert fra en standard prosedyre, og at trusselaktørene har en fleksibel og en mer improvisert tilnærming.
Rådgivningen understreker videre at Andariel-aktørene fortsatt utgjør en vedvarende trussel mot ulike sektorer globalt. De oppfordrer organisasjoner, særlig de som arbeider innen forsvar, romfart, kjernefysikk og ingeniørvitenskap, til å være ekstra årvåkne og beskytte sine nettverk mot slike statssponsede kyberoperasjoner fra Nord-Korea.
