В южнокорейской кладовой есть северные корейцы.
Исследовательская группа «Лаборатории Касперского» опубликовала последний отчет об активной кампании кибершпионажа, которая в первую очередь нацелена на исследовательские центры в Южной Корее.
Кампания, обнаруженная исследователями «Лаборатории Касперского», получила название Kimsuky - очень ограниченная и узконаправленная киберпреступная кампания, поскольку злоумышленники заметили только 11 южнокорейских организаций и два других китайских института, включая Корейский научно-исследовательский институт обороны. (KIDA), министерство объединения Южной Кореи, компания Hyundai Merchant Marine и группы, поддерживающие объединение Кореи.
Первые признаки атаки можно датировать 2013 апреля 3 года, а первый троянский вирус Kimsuky появился 5 мая. Это простое шпионское ПО содержит ряд основных ошибок кодирования и поддерживает связь с зараженными машинами через бесплатный веб-сервер электронной почты (mail.bg) в Болгарии.
Хотя первоначальный механизм реализации и распространения еще не известен, исследователи «Лаборатории Касперского» считают, что вирус Kimsuky, вероятно, будет распространяться через фишинговые электронные письма, которые имеют следующие шпионские функции: кейлоггер, захват списка каталогов, удаленный доступ и кража файлов HWP. Злоумышленники используют модифицированную версию TeamViewer, программы удаленного доступа, в качестве бэкдора для кражи файлов на зараженных машинах.
Эксперты «Лаборатории Касперского» выяснили, что злоумышленниками могут быть северокорейцы. Профили, нацеленные на вирусы, говорят сами за себя: во-первых, они были нацелены на южнокорейские университеты, которые проводят исследования в области международных отношений, государственной оборонной политики и изучают группы, поддерживающие слияние национальной судоходной компании и Кореи.
Во-вторых, программный код содержит корейские слова, включающие «атака» и «конец».
В-третьих, два адреса электронной почты, на которые боты отправляют отчеты о состоянии и информацию о зараженных системах в почтовых вложениях - [электронная почта защищена] és [электронная почта защищена] - зарегистрированы под именами, начинающимися с «ким»: «кимсукьянг» и «Ким асдфа».
Хотя зарегистрированные данные не содержат фактической информации о злоумышленниках, источник их IP-адреса совпадает с профилем: все 10 IP-адресов принадлежат сети провинций Цзилинь и Ляонин в Китае. Известно, что эти сети Интернет-провайдеров доступны в некоторых районах Северной Кореи.
