В южнокорейската килера има севернокорейци

Екипът на Kaspersky Lab за изследване на сигурността публикува последния си доклад за активна кампания за кибер шпионаж, която е насочена предимно към южнокорейските изследователски центрове.

Кампанията, открита от изследователите на Лабораторията на Касперски, се нарича Кимсуки, много ограничена и силно насочена кампания за киберпрестъпления, благодарение на факта, че нападателите са забелязали само 11 базирани в Южна Корея организации и два други китайски института, включително Корейския изследователски институт за отбрана. (KIDA), южнокорейското министерство на обединението, компания, наречена Hyundai Merchant Marine, и групи, подкрепящи обединението на Корея.

Най-ранните признаци на атаката могат да бъдат от 2013 април 3 г., а първият троянски вирус Kimsuky се появи на 5 май. Този прост шпионски софтуер съдържа редица основни грешки в кодирането и управлява комуникацията със заразени машини чрез безплатен уеб-базиран имейл сървър (mail.bg) в България.

Въпреки че първоначалният механизъм за внедряване и разпространение все още не е известен, изследователите на Лабораторията на Касперски вярват, че вирусът Kimsuky вероятно ще се разпространи чрез фишинг имейли, които имат следните функции за шпионаж: кейлоггер, заснемане на списъка с директории, отдалечен достъп и кражба на HWP файлове. Атакуващите използват модифицирана версия на TeamViewer, програма за отдалечен достъп, като задна врата за кражба на файлове на заразени машини.

Експертите на "Лаборатория Касперски" откриха улики, че нападателите вероятно са севернокорейци. Профилите, насочени към вируси, говорят сами за себе си: първо, те са насочени към южнокорейските университети, които провеждат изследвания в областта на международните отношения, правителствената отбранителна политика и изследват групи, подкрепящи сливането на националната корабна компания и Корея.

Второ, програмният код съдържа корейски думи, които включват „атака“ и „край“.

Трето, двата имейл адреса, на които ботовете изпращат отчети за състоянието и информация за заразени системи в прикачени файлове към поща - [имейл защитен] и [имейл защитен] - регистрирани под имената, започващи с „kim“: „kimsukyang“ и „Kim asdfa“.

Въпреки че регистрираните данни не съдържат фактическа информация за нападателите, източникът на техния IP адрес съвпада с профила: всичките 10 IP адреса принадлежат към мрежата на провинциите Дзилин и Ляонин в Китай. Известно е, че тези интернет доставчици са достъпни в някои райони на Северна Корея.