HomeStiriSecuritate ITOperatiunea “Kimsuky” si securitatea
kimsuky

Operatiunea “Kimsuky” si securitatea

kimsukyEchipa de cercetare a Kaspersky Lab a publicat un raport care analizează o campanie de cyber-spionaj activă care vizează în principal „think-tank”-uri din Coreea de Sud.

 

Această campanie, denumită Kimsuky, este limitată şi cu ţinte foarte bine definite. Potrivit analizei tehnice, atacatorii au vizat 11 organizaţii din Coreea de Sud şi două entităţi din China, inclusiv Institutul Sejong, Institutul Corean de analiză pentru apărare (Korea Institute For Defense Analyses (KIDA), Ministerul Sud-Coreean de Unificare, compania Hyunday Merchant Marine şi pe suporterii Unificării Coreene.

Primele semne ale activităţii în ceea ce priveşte această campanie datează din 3 aprilie 2013, iar primele mostre ale Troianului Kimsuky au apărut pe 5 mai 2013. Acest program nesofisticat de spionaj include mai multe erori de codare de bază şi administrează comunicaţiile către şi dinspre dispozitivele infectate prin intermediul unui server web based de e-mail din Bulgaria (mail.bg).

Deşi mecanismul iniţial de livrare rămâne necunoscut, cercetătorii Kaspersky Lab consideră că malware-ul Kimsuky este, cel mai probabil, livrat prin intermediul e-mail-urilor de tip „spear-phising” şi are capacitatea de a îndeplini următoarele mecanisme de spionaj: keylogger, colectarea listelor de fişiere, accesul de la distanţă şi furtul documentelor HWP (care au legătură cu aplicaţia Sud-Coreeană de procesare a textelor de la Hancom Office, utilizată pe scară largă de către guvernul local). Atacatorii folosesc ca backdoor şi o versiune modificată a TeamViewer, o aplicaţie cu acces de la distanţă, pentru a fura orice tip de document din computerele infectate.

Malware-ul Kimsuky conţine un program dedicat care are ca scop furtul de fişiere HWP, ceea ce sugerează că acest tip de documente reprezintă ţinta principală a grupului.

Indiciile descoperite de către experţii Kaspersky Lab par sugereaza originea Nord-Coreană a atacatorilor. În primul rând, profiul ţintelor vorbeşte de la sine – universităţile Sud-Coreene care derulează programe de cercetare cu privire la afaceri internaţionale şi care furnizează guvernului politici de apărare, o companie naţională de transport maritim şi grupurile care susţin unificarea coreeană.

În al doilea rând, atacatorii au uitat sa elimine din malware anumite siruri de caractere ce conţin cuvinte coreene (de exemplu, unele dintre ele ar putea fi traduse ca „atac” şi „definitivare”).

În al treilea rând, două adrese de e-mail către care boţii trimit rapoarte cu privire la status şi transmit informaţii despre sistemele infectate prin intermediul ataşamentelor – iop110112@hotmail.com şi rsh1213@hotmail.com – sunt înregistrate sub numele „Kim”, după cum urmează: „kimsukyang” şi „Kim asdfa”. Deşi aceste date de înregistrare nu oferă date concrete despre atacatori, sursele adreselor IP ale acestora se potrivesc profilului: există 10 adrese IP pe care acestia le folosesc, toate fiind localizate în aria de acoperire a reţelelor din provinciile Jilin şi Liaoning din China. De asemenea, se pare că furnizorul de servicii de internet din aceste regiuni oferă servicii şi în anumite părţi din Coreea de Nord.

O altă caracteristică geopolitică interesantă a malware-ului Kimsuky este aceea că dezactivează numai instrumentele de securitate de la AhnLab, o companie anti-malware din Coreea de Sud.

Produsele Kaspersky Lab detectează şi elimină malware-ul Trojan.Win32.Kimsuky, iar componentele modificate ale TeamViewer sunt detectate ca Trojan.Win32.Patched.ps.

Share With: