Hackers da Coreia do Norte conseguiram burlar a autenticação de acesso aos arquivos de atualização de uma VPN sul coreana para enviar malware espião a vários usuários de empresas da Coreia do Sul, afirmam autoridades do país. Os comunicados sobre o assunto foram divulgados pelo Centro Nacional de Segurança Cibernética da Coreia do Sul (NCSC) e por várias outras organizações governamentais.
Leia também
Problemas da atualização da Crowdstrike continuam
Novo trojan para Android imita app de atualização do Google Play
O software da VPN continha uma vulnerabilidade no processo de autenticação para as atualizações. Isso permitiu que os invasores enviassem aos clientes que executavam o software VPN um pacote especialmente criado, que parecia vir do servidor VPN legítimo, informando-os de que havia uma atualização. Devido à verificação insuficiente durante o processo de validação do pacote, o cliente VPN considerou que se tratava de um pacote legítimo.
Em seguida, o cliente da VPN baixava a ‘atualização’ especificada. Essa ‘atualização’ não era baixada do servidor VPN legítimo, mas, sim, do servidor dos invasores. O NCSC afirma que o processo de atualização consiste de várias etapas, como a verificação da solicitação do cliente e da resposta do servidor e a integridade do arquivo de atualização, mas todas essas etapas foram ignoradas. A ‘atualização’ permitiu que os invasores instalassem malware, dando-lhes controle total sobre o sistema.
Os ataques ocorridos no início deste ano visaram empresas de construção e fabricantes de equipamentos de construção, disse o NCSC. O regime norte-coreano teria interesse em roubar todo tipo de informação, segundo as autoridades sul-coreanas.