Izberite Stran

V shrambi Južne Koreje so Severnokorejci

Skupina za raziskave varnosti Kaspersky Lab je objavila svoje zadnje poročilo o aktivni kampanji za kibernetsko vohunjenje, ki je namenjena predvsem južnokorejskim raziskovalnim centrom.

800px-Kaspersky Lab_logo.svg

Kampanjo, ki so jo odkrili raziskovalci Kaspersky Lab, se imenuje Kimsuky, zelo omejena in ciljno usmerjena kampanja za kibernetski kriminal, zahvaljujoč dejstvu, da so napadalci opazili le 11 organizacij s sedežem v Južni Koreji in dva druga kitajska inštituta, vključno s Korejskim inštitutom za obrambne raziskave. (KIDA), južnokorejsko ministrstvo za združitev, podjetje Hyundai Merchant Marine, in skupine, ki podpirajo združitev Koreje.

 

Najzgodnejši znaki napada so lahko 2013. aprila 3, prvi trojanski virus Kimsuky pa se je pojavil 5. maja. Ta preprosta vohunska programska oprema vsebuje številne osnovne napake kodiranja in ureja komunikacijo z okuženimi računalniki prek brezplačnega spletnega e-poštnega strežnika (mail.bg) v Bolgariji.

Čeprav začetni mehanizem izvajanja in distribucije še ni znan, raziskovalci Kaspersky Lab verjamejo, da se virus Kimsuky verjetno širi z lažnimi e-poštnimi sporočili, ki imajo naslednje vohunske funkcije: keylogger, zajem seznama imenikov, oddaljeni dostop in krajo datotek HWP. Napadalci uporabljajo modificirano različico TeamViewer, programa za oddaljeni dostop, kot zakulisno ploščo za krajo datotek na okuženih računalnikih.

Strokovnjaki laboratorija Kaspersky so ugotovili, da so napadalci verjetno Severni Korejci. Profili, usmerjeni na viruse, govorijo sami zase: najprej so ciljali na južnokorejske univerze, ki izvajajo raziskave na področju mednarodnih odnosov, vladne obrambne politike in preučujejo skupine, ki podpirajo združitev nacionalnega ladijskega podjetja in Koreje.

Drugič, programska koda vsebuje korejske besede, ki vključujejo "napad" in "konec".

Tretjič, dva e-poštna naslova, na katera boti pošiljajo poročila o stanju in informacije o okuženih sistemih v poštnih prilogah - [e-pošta zaščitena] és [e-pošta zaščitena] - registrirana pod imeni, ki se začnejo z „kim“: „kimsukyang“ in „Kim asdfa“.

Čeprav registrirani podatki ne vsebujejo dejanskih informacij o napadalcih, se vir njihovega IP naslova ujema s profilom: vseh 10 naslovov IP pripada mreži provinc Jilin in Liaoning na Kitajskem. Znano je, da so ta omrežja ponudnikov internetnih storitev na voljo na nekaterih območjih Severne Koreje.

O avtorju

s3nki

Lastnik spletnega mesta HOC.hu. Je avtor več sto člankov in tisočih novic. Poleg različnih spletnih vmesnikov je pisal za revijo Chip in tudi za PC Guru. Nekaj ​​časa je vodil lastno trgovino z računalniki, leta pa je poleg novinarstva delal tudi kot vodja trgovin, vodja storitev in skrbnik sistema.