Перейти к основному разделу

Борьба Севера и Юга? «Лаборатория Касперского» раскрывает новую кампанию кибершпионажа против Южной Кореи

13 сентября 2013 г.

«Лаборатория Касперского» обнаружила новую кампанию кибершпионажа, нацеленную преимущественно на южно-корейские государственные структуры и научно-исследовательские институты.

«Лаборатория Касперского» обнаружила новую кампанию кибершпионажа, нацеленную преимущественно на южно-корейские государственные структуры и научно-исследовательские институты. Операция, получившая название Kimsuky, ограничена и таргетирована — как показал анализ, ее целями являлись 11 организаций в Южной Корее и 2 — в Китае. В частности, атаке подверглись Сечжонский Институт, Корейский Институт Защитного Анализа (KIDA), Министерство Объединения, логистическая компания Hyundai Merchant Marine и сторонники объединения республики Кореи.

Признаки активности были замечены 3 апреля 2013 года, а первые образцы троянца Kimsuky стали доступны 5 мая. Эту относительно несложную шпионскую программу отличает наличие ошибок в коде, а также осуществление коммуникаций с помощью болгарского бесплатного почтового сервера mail.bg.

Хотя точный способ заражения еще не установлен, эксперты «Лаборатории Касперского» уверены, что распространение Kimsuky происходило посредством рассылки целевых фишинговых писем. Этот троянец обладает таким функционалом, как слежение за нажатием клавиш, составление и кража списка файлов во всех каталогах, удаленное управление компьютером и хищение документов формата HWP, повсеместно используемого в южнокорейских госучреждениях в составе пакета Hancom Office. Наличие последнего функционала дает все основания полагать, что кража HWP-файлов — одна из основных задач троянца. Также атакующие используют модифицированную версию легитимного приложения удаленного управления компьютером TeamViewer в качестве бэкдора, с помощью которого затем получают любые файлы с зараженной машины.

Улики, обнаруженные экспертами «Лаборатории Касперского», дают возможность предполагать наличие «следа» Северной Кореи. Прежде всего, список целей атаки говорит сам за себя — южнокорейские университеты, занимающиеся изучением международных отношений и разработкой государственной оборонной политики, национальная логистическая компания и группы политических активистов, выступающих за объединение республики Корея. Во-вторых, строка кода зловреда содержит корейские слова, которые переводятся как «атака» и «финал».

Наконец, два почтовых адреса iop110112@hotmail.com и rsh1213@hotmail.com, на которые зараженные компьютеры отправляют уведомления о своем статусе и пересылают украденные данные во вложениях, зарегистрированы на имя Kim: kimsukyang и Kim asdfa. И, несмотря на то, что эта регистрационная информация не раскрывает ничего о злоумышленниках, их IP-адреса дополняют картину: 10 зарегистрированных IP-адреса принадлежат сети китайских провинций Гирин и Ляонин, граничащих с Северной Кореей. По различным данным, поставщики услуг, предоставляющие доступ в Интернет в этих провинциях, также имеют проложенную сеть в некоторых регионах Северной Кореи.

Еще один интересный геополитический аспект Kimsuky в том, что он обходит только защитные продукты южнокорейской антивирусной компании AhnLab. В свою очередь продукты «Лаборатории Касперского» детектируют и нейтрализуют эти угрозы, классифицируя их как Trojan.Win32.Kimsuky, а модифицированные компоненты TeamViewer как Trojan.Win32.Patched.ps.

«Безусловно, Kimsuky — еще одно доказательство того, что кибершпионаж становится все более популярным инструментом на международной арене. Однако эта кампания интересна еще и тем, что троянец написан с откровенными ошибками и обладает довольно простым функционалом. Это говорит о том, что уже сегодня даже небольшая группа людей при помощи относительно несложного вредоносного кода может совершить атаку на крупные организации и государственные структуры. На основании этого мы можем ожидать в скором будущем появления еще большего количества подобных кампаний — возможно, не самых профессиональных с точки зрения технического исполнения, но от того не менее опасных», — прокомментировал Дмитрий Тараканов, антивирусный эксперт «Лаборатории Касперского».

Ознакомиться с подробными результатами исследования кампании Kimsuky можно, пройдя по ссылке: www.securelist.com/ru.

Борьба Севера и Юга? «Лаборатория Касперского» раскрывает новую кампанию кибершпионажа против Южной Кореи

«Лаборатория Касперского» обнаружила новую кампанию кибершпионажа, нацеленную преимущественно на южно-корейские государственные структуры и научно-исследовательские институты.
Kaspersky logo

О «Лаборатории Касперского»

«Лаборатория Касперского» — международная компания, работающая в сфере информационной безопасности и цифровой приватности с 1997 года. На сегодняшний день компания защитила более 1 миллиарда устройств от массовых киберугроз и целенаправленных атак, а накопленные ей знания и опыт последовательно трансформируются в инновационные решения и услуги для защиты бизнеса, критически важной инфраструктуры, государственных органов и рядовых пользователей по всему миру. Обширное портфолио «Лаборатории Касперского» включает в себя комплексную защиту цифровой жизни и личных устройств, ряд специализированных продуктов и сервисов, а также кибериммунные решения для борьбы со сложными и постоянно эволюционирующими киберугрозами. Мы помогаем миллионам частных пользователей и почти 200 тысячам корпоративных клиентов во всём мире защищать самое ценное для них. Подробнее на www.kaspersky.ru.

Другие пресс-релизы