«Лаборатория Касперского» обнаружила новую кампанию кибершпионажа, нацеленную преимущественно на южно-корейские государственные структуры и научно-исследовательские институты.
«Лаборатория Касперского» обнаружила новую кампанию кибершпионажа, нацеленную преимущественно на южно-корейские государственные структуры и научно-исследовательские институты. Операция, получившая название Kimsuky, ограничена и таргетирована — как показал анализ, ее целями являлись 11 организаций в Южной Корее и 2 — в Китае. В частности, атаке подверглись Сечжонский Институт, Корейский Институт Защитного Анализа (KIDA), Министерство Объединения, логистическая компания Hyundai Merchant Marine и сторонники объединения республики Кореи.
Признаки активности были замечены 3 апреля 2013 года, а первые образцы троянца Kimsuky стали доступны 5 мая. Эту относительно несложную шпионскую программу отличает наличие ошибок в коде, а также осуществление коммуникаций с помощью болгарского бесплатного почтового сервера mail.bg.
Хотя точный способ заражения еще не установлен, эксперты «Лаборатории Касперского» уверены, что распространение Kimsuky происходило посредством рассылки целевых фишинговых писем. Этот троянец обладает таким функционалом, как слежение за нажатием клавиш, составление и кража списка файлов во всех каталогах, удаленное управление компьютером и хищение документов формата HWP, повсеместно используемого в южнокорейских госучреждениях в составе пакета Hancom Office. Наличие последнего функционала дает все основания полагать, что кража HWP-файлов — одна из основных задач троянца. Также атакующие используют модифицированную версию легитимного приложения удаленного управления компьютером TeamViewer в качестве бэкдора, с помощью которого затем получают любые файлы с зараженной машины.
Улики, обнаруженные экспертами «Лаборатории Касперского», дают возможность предполагать наличие «следа» Северной Кореи. Прежде всего, список целей атаки говорит сам за себя — южнокорейские университеты, занимающиеся изучением международных отношений и разработкой государственной оборонной политики, национальная логистическая компания и группы политических активистов, выступающих за объединение республики Корея. Во-вторых, строка кода зловреда содержит корейские слова, которые переводятся как «атака» и «финал».
Наконец, два почтовых адреса iop110112@hotmail.com и rsh1213@hotmail.com, на которые зараженные компьютеры отправляют уведомления о своем статусе и пересылают украденные данные во вложениях, зарегистрированы на имя Kim: kimsukyang и Kim asdfa. И, несмотря на то, что эта регистрационная информация не раскрывает ничего о злоумышленниках, их IP-адреса дополняют картину: 10 зарегистрированных IP-адреса принадлежат сети китайских провинций Гирин и Ляонин, граничащих с Северной Кореей. По различным данным, поставщики услуг, предоставляющие доступ в Интернет в этих провинциях, также имеют проложенную сеть в некоторых регионах Северной Кореи.
Еще один интересный геополитический аспект Kimsuky в том, что он обходит только защитные продукты южнокорейской антивирусной компании AhnLab. В свою очередь продукты «Лаборатории Касперского» детектируют и нейтрализуют эти угрозы, классифицируя их как Trojan.Win32.Kimsuky, а модифицированные компоненты TeamViewer как Trojan.Win32.Patched.ps.
«Безусловно, Kimsuky — еще одно доказательство того, что кибершпионаж становится все более популярным инструментом на международной арене. Однако эта кампания интересна еще и тем, что троянец написан с откровенными ошибками и обладает довольно простым функционалом. Это говорит о том, что уже сегодня даже небольшая группа людей при помощи относительно несложного вредоносного кода может совершить атаку на крупные организации и государственные структуры. На основании этого мы можем ожидать в скором будущем появления еще большего количества подобных кампаний — возможно, не самых профессиональных с точки зрения технического исполнения, но от того не менее опасных», — прокомментировал Дмитрий Тараканов, антивирусный эксперт «Лаборатории Касперского».
Ознакомиться с подробными результатами исследования кампании Kimsuky можно, пройдя по ссылке: www.securelist.com/ru.
