W południowokoreańskiej spiżarni są Koreańczycy z Północy
Zespół badawczy Kaspersky Lab opublikował swój najnowszy raport na temat aktywnej kampanii cyberszpiegowskiej, której celem są głównie południowokoreańskie ośrodki badawcze.
Kampania, odkryta przez badaczy z Kaspersky Lab, nazywa się Kimsuky i jest bardzo ograniczoną i wysoce ukierunkowaną kampanią cyberprzestępczą, ponieważ osoby atakujące wykryły tylko 11 organizacji z siedzibą w Korei Południowej i dwa inne chińskie instytuty, w tym Koreański Instytut Badań Obronnych. (KIDA), południowokoreańskie Ministerstwo Zjednoczenia, firma Hyundai Merchant Marine oraz grupy wspierające zjednoczenie Korei.
Najwcześniejsze oznaki ataku można datować na 2013 kwietnia 3 r., a pierwszy wirus trojana Kimsuky pojawił się 5 maja. To proste oprogramowanie szpiegujące zawiera szereg podstawowych błędów kodowania i obsługuje komunikację z zainfekowanymi maszynami za pośrednictwem bezpłatnego internetowego serwera poczty e-mail (mail.bg) w Bułgarii.
Chociaż początkowy mechanizm implementacji i dystrybucji nie jest jeszcze znany, badacze z Kaspersky Lab uważają, że wirus Kimsuky może rozprzestrzeniać się za pośrednictwem wiadomości phishingowych, które mają następujące funkcje szpiegowskie: keylogger, przechwytywanie listy katalogów, zdalny dostęp i kradzież plików HWP. Atakujący używają zmodyfikowanej wersji TeamViewer, programu do zdalnego dostępu, jako backdoora do kradzieży plików na zainfekowanych maszynach.
Eksperci z Kaspersky Lab znaleźli wskazówki, że atakującymi mogą być Koreańczycy z Północy. Profile wymierzone w wirusy mówią same za siebie: po pierwsze, atakowały południowokoreańskie uniwersytety, które prowadzą badania w zakresie stosunków międzynarodowych, polityki obronnej rządu i badają grupy wspierające fuzję narodowej firmy żeglugowej i Korei.
Po drugie, kod programu zawiera koreańskie słowa, które zawierają „atak” i „koniec”.
Po trzecie, dwa adresy e-mail, na które boty wysyłają raporty o stanie i informacje o zainfekowanych systemach w załącznikach do poczty - [email chroniony] és [email chroniony] - zarejestrowane pod nazwiskami zaczynającymi się od „kim”: „kimsukyang” i „Kim asdfa”.
Chociaż zarejestrowane dane nie zawierają faktycznych informacji o atakujących, źródło ich adresu IP jest zgodne z profilem: wszystkie 10 adresów IP należy do sieci prowincji Jilin i Liaoning w Chinach. Wiadomo, że te sieci ISP są dostępne w niektórych obszarach Korei Północnej.