Noord-Korea heeft de updatefunctie van niet nader genoemde vpn-software gebruikt om spionagemalware bij een aantal Zuid-Koreaanse bedrijven te verspreiden, zo claimen de Zuid-Koreaanse autoriteiten. Volgens een advisory van het Zuid-Koreaanse National Cyber Security Center (NCSC) en verschillende andere overheidsorganisaties gaat het om in Zuid-Korea ontwikkelde vpn-software (pdf).

De software bevatte een kwetsbaarheid tijdens het authenticatieproces voor het uitvoeren van updates. De aanvallers konden hierdoor naar clients waarop de vpn-software draait een speciaal geprepareerd pakket sturen, wat afkomstig van de legitieme vpn-server leek en liet weten dat er een update was. Door onvoldoende verificatie tijdens het validatieproces van het pakket dacht de vpn-client dat het om een legitiem pakket ging.

Vervolgens downloadde de vpn-client de opgegeven 'update'. Deze 'update' werd niet van de legitieme vpn-server gedownload, maar vanaf de server van de aanvallers. Het NCSC stelt dat het updateproces uit meerdere stappen bestaat, zoals verificatie van client request en server response en de integriteit van het updatebestand, maar werden al deze stappen omzeild. De 'update' liet de aanvallers malware installeren, waarmee ze volledige controle over het systeem kregen.

De aanvallen die begin dit jaar plaatsvonden waren gericht tegen bouwbedrijven en fabrikanten van bouwmachines, aldus het NCSC. Het Noord-Koreaanse regime zou op deze manier allerlei informatie hebben willen stelen die het voor eigen doeleinden inzet, zo stellen de Zuid-Koreaanse autoriteiten.