韩国唯一核能研究院KAERI承认被黑

文章来源：红数位

韩国原子能研究所(KAERI)是韩国唯一一家致力于核能的研究机构，由韩国政府资助的核电研究和应用研究所。韩国原子能研究所（KAERI）成立于 1959 年，其目标是通过核技术实现能源自力更生。

韩国原子能研究所(KAERI)官方文件

在韩国原子能研究所(KAERI)前天举行的声明和新闻发布会上，该研究所正式确认了这次袭击，并为试图掩盖这一事件而道歉。韩国原子能研究所(KAERI)昨天透露，他们的内部网络上个月遭到朝鲜威胁者利用VPN漏洞的攻击。

韩国原子能研究所(KAERI)网站公告

事件由韩国时事周刊《时事杂志》(Sisa Journal)最开始揭露并报道，他们根据韩国人民政权办公室消息，5月14日韩国原子能研究所发生黑客攻击。通过虚拟专用网（VPN）系统的漏洞，确认了“身份不明”的外人访问内部服务器的历史。但当时，韩国原子能研究所(KAERI)最初确认并否认发生了黑客攻击。

研究员在一周内反复表态3次

韩国时事周刊《时事杂志》(Sisa Journal)表示更大的问题是，韩国原子能研究所(KAERI)试图掩盖黑客攻击造成的损失，在一周内改变了他们对黑客攻击的立场3次。

• 6月11日，当韩国时事周刊《时事杂志》(Sisa Journal)开始报道黑客入侵时，韩国原子能研究所(KAERI)说：“黑客损害已经发生，目前正在调查中。” 

• 然而，5天后的6月16日，韩国原子能研究所(KAERI)突然改口，说：“我们没有受到任何黑客攻击。” 

• 然而，就在1天后的6月17日，他承认了黑客的破坏，并说：“一名外人利用VPN漏洞访问了系统。” 韩国原子能研究所(KAERI)的一位负责人表示，“安全团队似乎出了点问题”，但没有具体解释推翻入侵的原因。

韩国河泰京议员说：“科学、信息和通信技术和未来计划部和原子能研究所都做了虚假报告，称'没有黑客事故'，但当被问及具体事实时，他们终于承认了。”这里是研发棒等国家资源关键技术的地方，用厚颜无耻的谎言隐瞒如此重要的事实（黑客）来欺骗人民的罪责更大。”他指出。

该研究人员过去还接受了国际原子能机构（IAEA）对核材料制造的调查。2004 年，国际原子能机构调查了研究人员中提炼核材料钚的指控。因此，有人指出激光同位素实验和浓缩铀的生产。然而，结论是试验规模微不足道，而且由于相关设施被破坏，最终并没有导致核武器的发展。2018年，获得国际原子能机构核检样品分析资质，备受关注。

对此，一位网络安全行业负责人表示：“该研究所是韩国唯一的核研发机构，是公认的国家核工业基石的重要机构。似乎安全网终于被连续的攻击破坏了”他说。

归因于朝鲜黑客

韩国原子能研究所(KAERI)表示，这次攻击发生在6月14日，此前朝鲜黑客使用VPN漏洞破坏了他们的内部网络。

韩国原子能研究所(KAERI)官网图片

韩国原子能研究所(KAERI)表示他们已更新未公开的 VPN 设备以修复该漏洞。但是，访问日志显示，有13个不同的未授权IP地址通过VPN获得了对内部网络的访问权限。具体而言，未经授权的访问来自13个外部互联网地址 (IP)。研究人员说：“我们一发现攻击，就采取措施封锁攻击者的IP并更新安全系统。我们目前正在调查具体的破坏情况。”在这种情况下，网络安全专家指出朝鲜黑客组织是罪魁祸首。一位不愿透露姓名的网络安全专家说：“我们需要准确分析黑客代码，但怀疑是朝鲜黑客。其中一个IP地址与朝鲜国家资助的黑客组织“Kimsuky”相关联，据信该组织隶属于朝鲜侦察总局情报机构。

韩国原子能研究所(KAERI)新闻发布会上分享的图片

朝鲜黑客组织分为“金秀基”、“拉撒路”和“APT38”。如果你分析他们使用的黑客代码的相似性，你可以找出他们是哪个黑客组织。一位网络安全专家说：“在研究人员的黑客攻击案中也发现了‘金秀基集团’特有的模式。”

目前韩国原子能研究所(KAERI)表示，他们仍在调查攻击以确认哪些信息已被访问。

专攻韩国的Kimsuky APT

2020年10月，CISA向Kimsuky APT组织发出警报，并表示他们“可能被朝鲜政权委以全球情报收集任务”。

最近，Malwarebytes发布了一份关于Kimsuky(又名Thallium、Black Banshee和Velvet Chollima）如何使用“AppleSeed”后门在网络钓鱼攻击中积极瞄准韩国政府的报告。

“Kimsuky使用的诱饵之一，名为“외교부 사판 2021-05-07”，韩语翻译为“外交部版 2021-05-07”，表明它的目标是外交部韩国，” Malwarebytes对威胁行为者最近活动的报告解释说。

“根据我们收集的数据，我们已经确定这是Kimsuky非常感兴趣的一个实体。”Malwarebytes表示Kimsuky在最近的网络钓鱼攻击中针对其他韩国政府机构，包括：

• 韩国外交部第一秘书

• 韩国外交部第一秘书

• 贸易部长

• 韩国驻香港总领事馆副总领事

• 国际原子能机构（IAEA）核安全官员

• 斯里兰卡驻韩大使馆大使

• 外交部和贸易部顾问

此前：

• 2014年，一名黑客在某网站上传警告韩国水电与核电公司的帖子和包括两座核电站部分设计图在内的4份压缩档案，要求这家企业立即停运核电机组。

• 2015年，一名声称窃取了属于韩国国营的韩国水都核电公司 (KHNP) 核电站的敏感数据的黑客并索要资金以将信息保密，声称许多国家有兴趣购买有关核反应堆的信息。

参考：

https://us-cert.cisa.gov/ncas/alerts/aa20-301a

https://blog.malwarebytes.com/threat-analysis/2021/06/kimsuky-apt-continues-to-target-south-korean-government-using-appleseed-backdoor/

https://www.sisajournal.com/news/articleView.html?idxno=219152

https://www.bleepingcomputer.com/news/security/south-koreas-nuclear-research-agency-hacked-using-vpn-flaw