V juhokórejskej špajzi sú Severokórejčania
Tím výskumu bezpečnosti spoločnosti Kaspersky Lab zverejnil svoju najnovšiu správu o aktívnej kampani v oblasti kybernetickej špionáže, ktorá sa primárne zameriava na juhokórejské výskumné centrá.
Kampaň, ktorú objavili vedci spoločnosti Kaspersky Lab, sa nazýva Kimsuky, veľmi obmedzená a veľmi cielená kampaň proti počítačovej kriminalite, a to vďaka tomu, že útočníci spozorovali iba 11 juhokórejských organizácií a dva ďalšie čínske inštitúty vrátane Kórejského inštitútu pre obranný výskum. (KIDA), juhokórejské ministerstvo pre zjednotenie, spoločnosť s názvom Hyundai Merchant Marine, a skupiny podporujúce zjednotenie Kórey.
Najskoršie známky útoku je možné datovať na 2013. apríla 3 a prvý vírus trójskeho koňa Kimsuky sa objavil 5. mája. Tento jednoduchý spyware obsahuje množstvo základných chýb v kódovaní a komunikuje s infikovanými počítačmi prostredníctvom bezplatného webového e-mailového servera (mail.bg) v Bulharsku.
Hoci pôvodný mechanizmus implementácie a distribúcie ešte nie je známy, vedci spoločnosti Kaspersky Lab sa domnievajú, že vírus Kimsuky sa pravdepodobne šíri prostredníctvom phishingových e -mailov, ktoré majú nasledujúce špionážne funkcie: keylogger, zachytávanie zoznamu adresárov, vzdialený prístup a krádež súborov HWP. Útočníci používajú upravenú verziu programu TeamViewer, programu vzdialeného prístupu, ako zadné vrátka na odcudzenie súborov na infikovaných počítačoch.
Experti Kaspersky Lab našli stopy, že útočníkmi budú pravdepodobne Severokórejčania. Profily zamerané na vírusy hovoria samy za seba: najskôr sa zamerali na juhokórejské univerzity, ktoré vykonávajú výskum v oblasti medzinárodných vzťahov, vládnej obrannej politiky a skúmajú skupiny podporujúce zlúčenie národnej námornej spoločnosti a Kórey.
Za druhé, programový kód obsahuje kórejské slová, ktoré obsahujú „útok“ a „koniec“.
Po tretie, dve e -mailové adresy, na ktoré roboti odosielajú v prílohách správy o stave a informácie o infikovaných systémoch - [chránené e-mailom] és [chránené e-mailom] - registrované pod názvami začínajúcimi na „kim“: „kimsukyang“ a „Kim asdfa“.
Aj keď registrované údaje neobsahujú faktické informácie o útočníkoch, zdroj ich IP adresy sa zhoduje s profilom: všetkých 10 IP adries patrí do siete čínskych provincií Jilin a Liaoning. Je známe, že tieto siete ISP sú k dispozícii v niektorých oblastiach Severnej Kórey.
