Лаборатория Касперского» раскрыла новую кампанию кибершпионажа против Южной Кореи
«Лаборатория Касперского» обнаружила новую кампанию кибершпионажа, нацеленную преимущественно на южно-корейские государственные структуры и научно-исследовательские институты. Операция, получившая название Kimsuky, ограничена и таргетирована — как показал анализ, ее целями являлись 11 организаций в Южной Корее и 2 — в Китае. В частности, атаке подверглись Сечжонский Институт, Корейский Институт Защитного Анализа (KIDA), Министерство Объединения, логистическая компания Hyundai Merchant Marine и сторонники объединения республики Кореи.
Признаки активности были замечены 3 апреля 2013 года, а первые образцы троянца Kimsuky стали доступны 5 мая. Эту относительно несложную шпионскую программу отличает наличие ошибок в коде, а также осуществление коммуникаций с помощью болгарского бесплатного почтового сервера mail.bg.
Хотя точный способ заражения еще не установлен, эксперты уверены, что распространение Kimsuky происходило посредством рассылки целевых фишинговых писем. Этот троянец обладает таким функционалом, как слежение за нажатием клавиш, составление и кража списка файлов во всех каталогах, удаленное управление компьютером и хищение документов формата HWP, повсеместно используемого в южнокорейских госучреждениях в составе пакета Hancom Office. Наличие последнего функционала дает все основания полагать, что кража HWP-файлов — одна из основных задач троянца. Также атакующие используют модифицированную версию легитимного приложения удаленного управления компьютером TeamViewer в качестве бэкдора, с помощью которого затем получают любые файлы с зараженной машины.
Улики дают возможность предполагать наличие «следа» Северной Кореи. Прежде всего, список целей атаки говорит сам за себя — южнокорейские университеты, занимающиеся изучением международных отношений и разработкой государственной оборонной политики, национальная логистическая компания и группы политических активистов, выступающих за объединение республики Корея. Во-вторых, строка кода зловреда содержит корейские слова, которые переводятся как «атака» и «финал».
Наконец, два почтовых адреса iop110112@hotmail.com и rsh1213@hotmail.com, на которые зараженные компьютеры отправляют уведомления о своем статусе и пересылают украденные данные во вложениях, зарегистрированы на имя Kim: kimsukyang и Kim asdfa. И, несмотря на то, что эта регистрационная информация не раскрывает ничего о злоумышленниках, их IP-адреса дополняют картину: 10 зарегистрированных IP-адреса принадлежат сети китайских провинций Гирин и Ляонин, граничащих с Северной Кореей. По различным данным, поставщики услуг, предоставляющие доступ в Интернет в этих провинциях, также имеют проложенную сеть в некоторых регионах Северной Кореи.