Odaberite stranicu

Sjevernokorejaca ima u južnokorejskoj smočnici

Istraživački tim sigurnosti laboratorija Kaspersky objavio je svoje najnovije izvješće o aktivnoj kampanji cyber špijunaže, koja je prvenstveno usmjerena na istraživačke centre u Južnoj Koreji.

800px-Kaspersky Lab_logo.svg

Kampanja koju su otkrili istraživači Kaspersky Laba naziva se Kimsuky, vrlo ograničena i visoko ciljana kampanja za kibernetski kriminal, zahvaljujući činjenici da su napadači uočili samo 11 organizacija sa sjedištem u Južnoj Koreji i dva druga kineska instituta, uključujući Korejski institut za obrambena istraživanja. (KIDA), južnokorejsko Ministarstvo ujedinjenja, tvrtka pod nazivom Hyundai Merchant Marine, i skupine koje podržavaju ujedinjenje Koreje.

 

Najraniji znakovi napada mogu datirati 2013. travnja 3., a prvi virus Kimsuky trojanski pojavio se 5. svibnja. Ovaj jednostavni špijunski softver sadrži niz osnovnih pogrešaka u kodiranju i rukuje komunikacijom sa zaraženim računalima putem besplatnog web servera e-pošte (mail.bg) u Bugarskoj.

Iako početni mehanizam implementacije i distribucije još nije poznat, istraživači Kaspersky Laba vjeruju da će se virus Kimsuky vjerojatno širiti putem phishing e-maila koji imaju sljedeće značajke špijunaže: keylogger, snimanje popisa direktorija, daljinski pristup i krađa HWP datoteka. Napadači koriste modificiranu verziju TeamViewer, programa za udaljeni pristup, kao pozadinsku zaštitu za krađu datoteka na zaraženim računalima.

Stručnjaci Kaspersky Laba otkrili su tragove da su napadači vjerojatno sjevernokorejci. Profili ciljani na viruse govore sami za sebe: prvo su ciljali južnokorejska sveučilišta koja provode istraživanja u međunarodnim odnosima, vladinoj obrambenoj politici i ispituju skupine koje podržavaju spajanje nacionalne brodske tvrtke i Koreje.

Drugo, programski kod sadrži korejske riječi koje uključuju "napad" i "kraj".

Treće, dvije adrese e-pošte na koje botovi šalju izvješća o statusu i informacije o zaraženim sustavima u privitcima pošte - [e-pošta zaštićena] és [e-pošta zaštićena] - registrirani pod imenima koja počinju na 'kim': 'kimsukyang' i 'Kim asdfa'.

Iako registrirani podaci ne sadrže činjenične podatke o napadačima, izvor njihove IP adrese podudara se s profilom: svih 10 IP adresa pripada mreži provincija Jilin i Liaoning u Kini. Poznato je da su ove ISP mreže dostupne u nekim područjima Sjeverne Koreje.

O autoru

s3nki

Vlasnik web stranice HOC.hu. Autor je stotina članaka i tisuća vijesti. Uz razna internetska sučelja, pisao je za časopis Chip i za PC Guru. Neko je vrijeme vodio vlastitu prodavaonicu računala, godinama radeći kao voditelj trgovine, voditelj usluga, administrator sustava, uz novinarstvo.