Von einer VPN-Schwachstelle zur nuklearen Gefahr?
Das Korea Atomic Energy Research Institute (KAERI) in Südkorea ist als staatliche Einrichtung für die Forschung und Entwicklung im Bereich der Nukleartechnologie zuständig und verantwortet auf nationaler Ebene nicht zuletzt die Sicherheit und Organisation von Kraftwerken und Reaktoren. Dadurch gerät das Institut natürlich in den Fokus von Spionage und Cyberangriffen – vor allem von Seiten Seouls Hauptgegenspieler: Nordkorea.
Vor einigen Wochen gab KAERI einen Vorfall bekannt, der dies untermauert: Eine Gruppe von Cyberkriminellen war in das interne Netzwerk des Unternehmens eingedrungen. Als Einfallstor diente offenbar eine Schwachstelle im VPN-Netzwerk der Organisation – keine Überraschung in Zeiten, in denen die Mehrzahl aller Mitarbeiter von zuhause aus arbeitet. Die Opposition der südkoreanischen Regierung behauptet, dass sich die nordkoreanischen Angreifer über eine ihnen in die Hände gefallene E-Mail sowie vertrauliche Daten eines ehemaligen Beraters von Präsident Moon Jae-in Zugriff zum System verschaffen konnten.
Ungeachtet dessen geht das südkoreanische Institut davon aus, dass die Hacker von mehreren Standorten aus in das System eingedrungen sind – nachdem die forensische Analyse ergeben hatte, dass der Zugang zum Unternehmensnetzwerk über insgesamt 13 IP-Adressen erfolgte. Am wichtigsten ist jedoch, dass eine dieser IP-Adressen bereits vorher der Kimsuky-Gruppe zugeordnet wurde.
Spezialisierte APT-Bande nimmt kritische Infrastrukturen ins Visier
Kimsuky ist auch unter den Namen Velvet Cholima oder Black Banshee bekannt und hat sich mit Advanced Persistent Threats (APT) einen einschlägigen Ruf erarbeitet. Zudem gibt es offensichtliche Verbindungen zum nordkoreanischen Regime. Präferierte Ziele sind in der Regel Regierungsorganisationen oder Forschungseinrichtungen, aber auch Versorgungsunternehmen und Militäreinheiten, die zum Bereich der kritischen Infrastrukturen gehören. Der Aktionsradius ist dabei bei Weitem nicht nur auf Südkorea begrenzt. So gab es beispielsweise u.a. bereits Angriffe auf die Internationale Atomenergiebehörde (IAEO –International Atomic Energy Agency) und Botschafter anderer Länder.
Die US-Behörde CISA (Cybersecurity and Infrastructure Security Agency) hat im vergangenen Jahr einen Bericht veröffentlicht, in dem sie vor den gängigsten Taktiken warnt. Dazu gehört Spear-Phishing, aber auch der Einsatz bösartiger Skripte, mithilfe derer Benutzerdaten abgegriffen werden.
Updates und moderne Firewall-Appliances
Die beschriebenen Techniken setzen ein hohes Maß an Anstrengung und Raffinesse seitens Kimsuky voraus. Entsprechend gefährlich sind solche Angriffe für Organisationen, die im Besitz von Informationen sind, an denen das Regime in Pjöngjang Interesse hegt. Aber auch unabhängig davon verdeutlicht das Kimsuky-Beispiel das von APT ausgehende Risiko für Organisationen jeder Art und Größe und die Verletzlichkeit von VPN-Strukturen, die gerade im Zuge der zunehmenden Telearbeit zu einer entscheidenden Stellschraube werden können.
Daher sollten Unternehmen im Allgemeinen und natürlich die für IT-Sicherheit zuständigen Managed Service Provider im Speziellen zunächst sicherstellen, dass die von ihnen verwendete VPN-Software stets die neuesten Updates enthält, um das Risiko zu minimieren, dass Cyberangreifer Schwachstellen ausnutzen. Die Sicherheit der Mitarbeiter im Homeoffice sollte zudem niemals an der Bandbreite der eingesetzten Security-Lösung scheitern. Hier bieten die Cloud-gehosteten Firewalls von WatchGuard erstklassige Funktionalität im Sinne des Netzwerkschutzes, ohne dabei die Performance des VPN-Datenverkehrs aus dem Gleichgewicht zu bringen.
WatchGuard FireboxV bietet umfassenden Schutz und setzt auf die gleichen Netzwerk- und Sicherheitsdienste, die auch bei den physischen Firewalls von WatchGuard zum Tragen kommen – einschließlich HTTPS-Inspektion und Unterstützung für mobile Endgeräte. Darüber hinaus ist die Lösung auf der Mehrzahl aller gängigen Server des Marktes lauffähig und kann über die intuitive Konsole des WatchGuard System Managers von jedem Ort aus einfach verwaltet werden. Vollständige Transparenz des Netzwerks ist jederzeit gewährleistet. VPN-Strukturen und Unternehmensnetzwerke von Organisationen wie KAERI werden von weitreichenden Cybersecurity-Funktionen abgesichert, mit denen sich selbst ausgefeilte Bedrohungen effektiv abwehren lassen.