Válassza az Oldal lehetőséget

Észak-koreaiak vannak a Dél-koreai spájzban

A Kaspersky Lab biztonsági kutatócsoportja közzétette legújabb aktív kiberkémkedési kampányról szóló jelentését, amely elsősorban dél-koreai kutatóközpontokat céloz.

800px-Kaspersky Lab_logo.svg

A Kaspersky Lab kutatói által felfedezett kampány neve Kimsuky, amely egy igen korlátozott és magasan célzott kiberbűnözői kampány, annak köszönhetően, hogy a támadók mindössze csak 11 dél-koreai székhelyű szervezetet és további két kínai intézetet figyeltek meg, ezek között megtalálható a Koreai Védelmi Kutató Intézet (KIDA), Dél-Korea Egyesítési Minisztériuma, a Hyundai Merchant Marine nevű vállalat, valamint Korea egyesítését támogató csoportok.

 

A támadás legkorábbi jelei 2013. április 3-ra datálható, és az első Kimsuky trójai vírus május 5-én jelent meg. Ez az egyszerű kémprogram számos alapvető kódolási hibát tartalmaz, és a fertőzött gépekkel történő kommunikációt egy bulgáriai, web alapú, ingyenes e-mail-szerveren (mail.bg) keresztül kezeli.

Bár a kezdeti megvalósítás és terjesztési mechanizmus még nem ismert, a Kaspersky Lab kutatói úgy vélik, hogy a Kimsuky vírus valószínűleg az adathalász e-maileken keresztül terjed, amely a következő kémkedési funkciókkal rendelkezik: keylogger, címtár lista rögzítés, távoli hozzáférés és HWP fájlok ellopása. A támadók a távoli hozzáférésre szolgáló TeamViewer program módosított változatát használják backdoorként a fertőzött gépeken található fájlok ellopására.

A Kaspersky Lab szakértői olyan nyomokat találtak, amelyeknek köszönhetően sejteni lehet, hogy a támadók valószínűleg észak-koreaiak. A vírus által célzott profilok magukért beszélnek: először is azokat a dél-koreai egyetemeket célozták, akik kutatást végeznek nemzetközi kapcsolatok, kormányzati védelmi politika területén, illetve vizsgálják a nemzeti hajózási társaság és Korea egyesítését támogató csoportokat.

Másodszor: a programkód koreai szavakat tartalmaz, amelyek között megtalálható a „támadás” és a „befejezés”.

Harmadszor: a két e-mail-címet, amelyre a botok állapotjelentéseket, valamint levélmellékletekben a megfertőzött rendszerekre vonatkozó információkat küldenek – [email protected] és [email protected] – a következő, „kim” kezdetű neveken regisztrálták: „kimsukyang” és „Kim asdfa”.

Annak ellenére, hogy a regisztrált adatok nem tartalmaznak ténybeli információkat a támadókról, az IP címük forrása illik a profilhoz: mind a 10 IP cím a kínai Jilin és Liaoning tartomány hálózatához tartozik. Ezek az internetszolgáltatók hálózatai úgy tudni észak-koreai egyes területein is elérhetőek.

A szerzőről

s3nki

A HOC.hu oldal tulajdonosa. Több száz cikk, és több ezer hír szerzője. A különböző online felületeken kívül írt a Chip Magazinba, és a PC Guruba is. Egy ideig saját PC-s boltot vezetett, éveken át dolgozott üzletvezetőként, szervizvezetőként, rendszergazdaként az újságírás mellett.

Csomagkövetés (1Tracking)

Partnereink

Partnereink

Csomagkövetés

Másold be a csomagszámot, és nyomd meg a mehet gombot!

Vásárlási segédlet

igyvasarolj2