Kore Ulusal Polis Teşkilatı (KNPA), Kuzey Koreli bilgisayar korsanlarının hassas tıbbi bilgileri ve kişisel bilgileri çalmak için ülkenin en büyük hastanelerinden biri olan Seul Ulusal Üniversite Hastanesi’nin (SNUH) ağına girdiği konusunda uyardı.
Olay, Mayıs ve Haziran 2021 arasında meydana geldi ve polis, failleri tespit etmek için son iki yılda analitik bir soruşturma yürüttü.
Kolluk kuvvetlerinin basın açıklamasına göre, saldırı aşağıdaki bilgilere dayanarak Kuzey Koreli bilgisayar korsanlarına atfedildi:
- saldırılarda gözlemlenen izinsiz giriş teknikleri,
- Kuzey Koreli tehdit aktörlerine bağımsız olarak bağlanan IP adresleri,
- web sitesi kayıt detayları,
- belirli bir dilin ve Kuzey Korece kelime dağarcığının kullanımı
Güney Kore’deki yerel medya, saldırıyı Kimsuky bilgisayar korsanlığı grubuyla ilişkilendirdi, ancak polisin raporu, belirli bir tehdit grubundan açıkça bahsetmiyor.
Saldırganlar, hastanenin dahili ağına saldırı başlatmak için Güney Kore ve diğer ülkelerdeki yedi sunucuyu kullandı.
Polis, olayın çoğu hasta olan 831.000 kişinin verilerinin açığa çıkmasıyla sonuçlandığını söyledi. Ayrıca, etkilenen kişilerin 17.000’i mevcut ve eski hastane çalışanlarıdır.
KNPA basın açıklaması, Kuzey Koreli bilgisayar korsanlarının çeşitli endüstrilerdeki bilgi ve iletişim ağlarına sızmaya çalışabilecekleri konusunda uyardı. Güvenlik yamaları uygulamak, sistem erişimini yönetmek ve hassas verileri şifrelemek gibi gelişmiş güvenlik önlemleri ve prosedürlerine olan ihtiyacı vurguladı.
KNPA, “Tüm güvenlik yeteneklerimizi seferber ederek ulusal hükümetler tarafından desteklenen organize siber saldırılara aktif olarak yanıt vermeyi ve bilgi paylaşımı ve ilgili kurumlarla işbirliği yoluyla ek hasarı önleyerek Güney Kore’nin siber güvenliğini sağlam bir şekilde korumayı planlıyoruz” uyarısında bulundu.
Maui ve Andariel
Kuzey Koreli bilgisayar korsanları daha önce hassas verileri çalmayı ve sağlık kuruluşlarından zorla fidye ödemesi almayı amaçlayan hastane ağlarına izinsiz girişlerle ilişkilendirilmişti.
Daha spesifik olarak, ABD hükümeti Maui fidye yazılımı tehdidini bu şekilde vurguladı ve sağlık sektörünü Kuzey Kore operasyonuna karşı savunmalarını artırmaları gerektiği konusunda uyardı.
Bu uyarıdan kısa bir süre sonra Kaspersky’deki güvenlik araştırmacıları, Maui fidye yazılımı operasyonunu Lazarus’un bir alt grubu olduğuna inanılan ‘Andariel’ (diğer adıyla ‘Stonefly’) adlı belirli bir etkinlik kümesine bağladı.
Lazarus, Nisan 2021’den beri fidye yazılımıyla Güney Koreli varlıkları hedef almasıyla tanınır.