O noua campanie de cyber-spionaj, "Kimsuky", cu surse in Coreea de Nord

O noua campanie de cyber-spionaj, denumita "Kimsuky", activa si care vizeaza in principal "think-tank"-uri din Coreea de Sud, avand posibile legaturi cu Coreea de Nord, a fost identificata de Kaspersky.

Kimsuky este limitata si cu tinte foarte bine definite. Potrivit analizei tehnice, atacatorii au vizat 11 organizatii din Coreea de Sud si doua entitati din China, inclusiv Institutul Sejong, Institutul Corean de analiza pentru aparare (Korea Institute For Defense Analyses (KIDA), Ministerul Sud-Coreean de Unificare, compania Hyunday Merchant Marine si pe suporterii Unificarii Coreene.

Primele semne ale campaniei Kimsuky, aparute in aprilie

Primele semne ale activitatii acestei campanii dateaza din 3 aprilie 2013, iar primele mostre ale Troianului Kimsuky au aparut pe 5 mai 2013. Acest program nesofisticat de spionaj include mai multe erori de codare de baza si administreaza comunicatiile catre si dinspre dispozitivele infectate prin intermediul unui server web based de e-mail din Bulgaria (mail.bg).

Desi mecanismul initial de livrare ramane necunoscut, Kaspersky Lab considera ca malware-ul Kimsuky este, cel mai probabil, livrat prin intermediul e-mail-urilor de tip "spear-phising" si are capacitatea de a indeplini urmatoarele mecanisme de spionaj: keylogger, colectarea listelor de fisiere, accesul de la distanta si furtul documentelor HWP (care au legatura cu aplicatia Sud-Coreeana de procesare a textelor de la Hancom Office, utilizata pe scara larga de catre guvernul local).

Atacatorii folosesc ca backdoor si o versiune modificata a TeamViewer, o aplicatie cu acces de la distanta, pentru a fura orice tip de document din computerele infectate.

Malware-ul Kimsuky contine un program dedicat care are ca scop furtul de fisiere HWP, ceea ce sugereaza ca acest tip de documente reprezinta tinta principala a grupului.

Indicii care sugereaza implicarea Coreei de Nord

Kaspersky a descoperit cateva indicii care sugereaza originea Nord-Coreana a atacatorilor. In primul rand, profitul tintelor - universitatile Sud-Coreene care deruleaza programe de cercetare cu privire la afaceri internationale si care furnizeaza guvernului politici de aparare, o companie nationala de transport maritim si grupurile care sustin unificarea coreeana.

In al doilea rand, atacatorii au uitat sa elimine din malware anumite siruri de caractere ce contin cuvinte coreene (de exemplu, unele dintre ele ar putea fi traduse ca "atac" si "definitivare").

In al treilea rand, doua adrese de e-mail catre care botii trimit rapoarte cu privire la status si transmit informatii despre sistemele infectate prin intermediul atasamentelor - iop110112@hotmail.com si rsh1213@hotmail.com - sunt inregistrate sub numele "Kim", dupa cum urmeaza: "kimsukyang" si "Kim asdfa".

Desi aceste date de inregistrare nu ofera date concrete despre atacatori, sursele adreselor IP ale acestora se potrivesc profilului: exista 10 adrese IP pe care acestia le folosesc, toate fiind localizate in aria de acoperire a retelelor din provinciile Jilin si Liaoning din China. De asemenea, se pare ca furnizorul de servicii de internet din aceste regiuni ofera servicii si in anumite parti din Coreea de Nord.

O alta caracteristica geopolitica interesanta a malware-ului Kimsuky este aceea ca dezactiveaza numai instrumentele de securitate de la AhnLab, o companie anti-malware din Coreea de Sud.