Noord-Koreaanse aanvallers slaan tweemaal toe bij Russische raketfabrikant
Twee Noord-Koreaanse hackersgroepen hadden toegang tot de interne systemen van NPO Mashinostoyeniya, een Russische fabrikant van raketten en satellieten. SentinelOne meldt dat de aanvallers vijf tot zes maanden toegang hadden tot de IT-systemen van het bedrijf.
Het gaat volgens SentinelOne om twee verschillende Noord-Koreaanse aanvalsgroepen, die beide toesloegen bij hetzelfde Russische bedrijf. Onder meer een e-mailserver zou zijn gekraakt. Ook brachten de aanvallers naar verluid een Windows-backdoor aan op de systemen van het bedrijf.
StarCruft en Lazarus Group
Een van de aanvalsgroepen is geïdentificeerd als StarCruft, dat steun zou krijgen van de Noord-Koreaanse overheid. Deze groep is naar verluid verantwoordelijk voor het kraken van de e-mailserver van NPO Mashinostoyeniya.
De tweede aanvalsgroep is Lazarus Group, die de Windows-backdoor zou hebben aangebracht. De software die hierbij is gebruikt is eerder door de Lazarus Group ook bij andere activiteiten ingezet. De backdoor maakt onder meer het compromitteren van besmette machines mogelijk, en geeft aanvallers de mogelijkheid zich over een besmet netwerk te bewegen.
Het is onbekend of de twee aanvalsgroepen met elkaar in contact staan en de aanvallen hebben gecoördineerd. Meer informatie over de aanvallen is hier beschikbaar.
