V jihokorejské spíži jsou Severokorejci
Tým společnosti Kaspersky Lab pro výzkum bezpečnosti zveřejnil svou nejnovější zprávu o aktivní kampani v oblasti kybernetické špionáže, která je zaměřena především na jihokorejská výzkumná centra.
Kampaň, kterou objevili vědci společnosti Kaspersky Lab, se nazývá Kimsuky, velmi omezená a vysoce cílená kampaň proti počítačové kriminalitě, a to díky tomu, že útočníci zahlédli pouze 11 jihokorejských organizací a dva další čínské instituty, včetně Korejského obranného výzkumného ústavu. (KIDA), jihokorejské ministerstvo pro sjednocení, společnost s názvem Hyundai Merchant Marine a skupiny podporující sjednocení Koreje.
Nejčasnější známky útoku lze datovat 2013. dubna 3 a první virus Trojsu Trojan se objevil 5. května. Tento jednoduchý spyware obsahuje řadu základních kódovacích chyb a zpracovává komunikaci s infikovanými stroji prostřednictvím bezplatného webového e-mailového serveru (mail.bg) v Bulharsku.
Ačkoli počáteční mechanismus implementace a distribuce dosud není znám, vědci společnosti Kaspersky Lab věří, že virus Kimsuky se pravděpodobně šíří prostřednictvím phishingových e-mailů, které mají následující funkce špionáže: keylogger, sběr seznamů adresářů, vzdálený přístup a krádež souborů HWP. Útočníci používají upravenou verzi TeamViewer, programu vzdáleného přístupu, jako zadní vrátka ke krádeži souborů na infikovaných počítačích.
Odborníci společnosti Kaspersky Lab našli stopy, že útočníky pravděpodobně budou Severokorejci. Profily zaměřené na viry mluví samy za sebe: za prvé se zaměřily na jihokorejské univerzity, které provádějí výzkum v oblasti mezinárodních vztahů, vládní obranné politiky a zkušebních skupin podporujících sloučení národní námořní společnosti a Koreje.
Zadruhé, programový kód obsahuje korejská slova, která zahrnují „útok“ a „konec“.
Zatřetí, dvě e-mailové adresy, na které roboti odesílají zprávy o stavu a informace o infikovaných systémech v přílohách pošty - [chráněno e-mailem] és [chráněno e-mailem] - registrováno pod jmény začínajícími na „kim“: „kimsukyang“ a „Kim asdfa“.
I když registrovaná data neobsahují faktické informace o útočnících, zdroj jejich IP adresy odpovídá profilu: všech 10 IP adres patří do sítě provincií Jilin a Liaoning v Číně. Je známo, že tyto sítě ISP jsou k dispozici v některých oblastech Severní Koreje.
