Etelä-Korean ruokakomeroissa on pohjoiskorealaisia
Kaspersky Labin tietoturvatutkimusryhmä on julkaissut viimeisimmän raporttinsa aktiivisesta verkkovakoilukampanjasta, joka kohdistuu ensisijaisesti Etelä -Korean tutkimuskeskuksiin.
Kaspersky Labin tutkijoiden löytämän kampanjan nimi on Kimsuky, hyvin rajallinen ja erittäin kohdennettu tietoverkkorikollisuuskampanja, koska hyökkääjät havaitsivat vain 11 eteläkorealaista organisaatiota ja kaksi muuta kiinalaista instituuttia, mukaan lukien Korean puolustustutkimuslaitos. (KIDA), Etelä -Korean yhdistymisministeriö, Hyundai Merchant Marine -yritys ja Korean yhdentymistä tukevat ryhmät.
Hyökkäyksen ensimmäiset merkit voidaan merkitä 2013. huhtikuuta 3, ja ensimmäinen Kimsuky -troijalainen virus ilmestyi 5. toukokuuta. Tämä yksinkertainen vakoiluohjelma sisältää useita peruskoodausvirheitä ja käsittelee yhteydenpidon tartunnan saaneiden koneiden kanssa ilmaisen verkkopohjaisen sähköpostipalvelimen (mail.bg) kautta Bulgariassa.
Vaikka alkuperäinen toteutus- ja jakelumekanismi ei ole vielä tiedossa, Kaspersky Labin tutkijat uskovat, että Kimsuky -virus leviää todennäköisesti tietojenkalastelusähköpostien kautta, joissa on seuraavat vakoilutoiminnot: keylogger, hakemistoluettelon kaappaus, etäkäyttö ja HWP -tiedostojen varastaminen.. Hyökkääjät käyttävät TeamViewerin, etäkäyttöohjelman, muokattua versiota takaovena varastaakseen tiedostoja tartunnan saaneilta koneilta.
Kaspersky Labin asiantuntijat ovat löytäneet vihjeitä siitä, että hyökkääjät ovat todennäköisesti pohjoiskorealaisia. Virukseen kohdistetut profiilit puhuvat puolestaan: ensiksi ne kohdistettiin eteläkorealaisiin yliopistoihin, jotka tutkivat kansainvälisiä suhteita, hallituksen puolustuspolitiikkaa ja tutkivat kansallisen varustamon ja Korean yhdistymistä tukevia ryhmiä.
Toiseksi ohjelmakoodi sisältää koreankielisiä sanoja, jotka sisältävät hyökkäyksen ja lopun.
Kolmanneksi, kaksi sähköpostiosoitetta, joihin botit lähettävät tilaraportteja ja tietoja sähköpostin liitteissä olevista tartunnan saaneista järjestelmistä - [sähköposti suojattu] és [sähköposti suojattu] - rekisteröity nimillä, jotka alkavat 'kim': 'kimsukyang' ja 'Kim asdfa'.
Vaikka rekisteröidyt tiedot eivät sisällä tosiasiallista tietoa hyökkääjistä, heidän IP -osoitteensa lähde vastaa profiilia: kaikki 10 IP -osoitetta kuuluvat Kiinan Jilinin ja Liaoningin maakuntien verkkoon. Näiden Internet -palveluntarjoajien verkkojen tiedetään olevan saatavilla joillakin Pohjois -Korean alueilla.
