Der er nordkoreanere i det sydkoreanske spisekammer
Kaspersky Labs sikkerhedsforskningsteam har offentliggjort sin seneste rapport om en aktiv cyberspionagekampagne, der primært er rettet mod sydkoreanske forskningscentre.
Kampagnen, der blev opdaget af forskere fra Kaspersky Lab, kaldes Kimsuky, en meget begrænset og meget målrettet cyberkriminalitetskampagne takket være det faktum, at angriberne kun spottede 11 sydkoreanske organisationer og to andre kinesiske institutter, inklusive det koreanske forsvarsforskningsinstitut. (KIDA), det sydkoreanske enhedsministerium, et firma kaldet Hyundai Merchant Marine, og grupper, der støtter koreansk forening.
De tidligste tegn på angrebet kan dateres 2013. april 3, og den første Kimsuky Trojan-virus dukkede op den 5. maj. Denne enkle spyware indeholder en række grundlæggende kodningsfejl og håndterer kommunikation med inficerede maskiner via en gratis webbaseret e-mail-server (mail.bg) i Bulgarien.
Selvom den indledende implementerings- og distributionsmekanisme endnu ikke er kendt, mener Kaspersky Lab-forskere, at Kimsuky-virus sandsynligvis vil sprede sig via phishing-e-mails, som har følgende spioneringsfunktioner: keylogger, registrering af katalogliste, fjernadgang og HWP-filtyveri. Angribere bruger en ændret version af Remote Access TeamViewer-programmet som bagdør til at stjæle filer på inficerede maskiner.
Kaspersky Labs eksperter har fundet spor af, at angriberne sandsynligvis er nordkoreanere. De virusmålrettede profiler taler for sig selv: først målrettede de sydkoreanske universiteter, der forsker i internationale forbindelser, regeringsforsvarspolitik og undersøger grupper, der støtter fusionen mellem det nationale rederi og Korea.
For det andet indeholder programkoden koreanske ord, der inkluderer “angreb” og “slut”.
For det tredje er de to e-mail-adresser, hvortil bots sender statusrapporter, og information om inficerede systemer i vedhæftede filer - [e-mail beskyttet] és [e-mail beskyttet] - registreret under navnene, der begynder med 'kim': 'kimsukyang' og 'Kim asdfa'.
Selvom de registrerede data ikke indeholder faktiske oplysninger om angriberne, svarer kilden til deres IP-adresse til profilen: alle 10 IP-adresser tilhører netværket af Jilin- og Liaoning-provinserne i Kina. Disse ISP-netværk er kendt for at være tilgængelige i nogle områder af Nordkorea.
