Выбрать страницу

В южнокорейской кладовой есть северные корейцы.

Исследовательская группа «Лаборатории Касперского» опубликовала последний отчет об активной кампании кибершпионажа, которая в первую очередь нацелена на исследовательские центры в Южной Корее.

800px-Kaspersky Lab_logo.svg

Кампания, обнаруженная исследователями «Лаборатории Касперского», получила название Kimsuky - очень ограниченная и узконаправленная киберпреступная кампания, поскольку злоумышленники заметили только 11 южнокорейских организаций и два других китайских института, включая Корейский научно-исследовательский институт обороны. (KIDA), министерство объединения Южной Кореи, компания Hyundai Merchant Marine и группы, поддерживающие объединение Кореи.

 

Первые признаки атаки можно датировать 2013 апреля 3 года, а первый троянский вирус Kimsuky появился 5 мая. Это простое шпионское ПО содержит ряд основных ошибок кодирования и поддерживает связь с зараженными машинами через бесплатный веб-сервер электронной почты (mail.bg) в Болгарии.

Хотя первоначальный механизм реализации и распространения еще не известен, исследователи «Лаборатории Касперского» считают, что вирус Kimsuky, вероятно, будет распространяться через фишинговые электронные письма, которые имеют следующие шпионские функции: кейлоггер, захват списка каталогов, удаленный доступ и кража файлов HWP. Злоумышленники используют модифицированную версию TeamViewer, программы удаленного доступа, в качестве бэкдора для кражи файлов на зараженных машинах.

Эксперты «Лаборатории Касперского» выяснили, что злоумышленниками могут быть северокорейцы. Профили, нацеленные на вирусы, говорят сами за себя: во-первых, они были нацелены на южнокорейские университеты, которые проводят исследования в области международных отношений, государственной оборонной политики и изучают группы, поддерживающие слияние национальной судоходной компании и Кореи.

Во-вторых, программный код содержит корейские слова, включающие «атака» и «конец».

В-третьих, два адреса электронной почты, на которые боты отправляют отчеты о состоянии и информацию о зараженных системах в почтовых вложениях - [электронная почта защищена] és [электронная почта защищена] - зарегистрированы под именами, начинающимися с «ким»: «кимсукьянг» и «Ким асдфа».

Хотя зарегистрированные данные не содержат фактической информации о злоумышленниках, источник их IP-адреса совпадает с профилем: все 10 IP-адресов принадлежат сети провинций Цзилинь и Ляонин в Китае. Известно, что эти сети Интернет-провайдеров доступны в некоторых районах Северной Кореи.

В южнокорейской кладовой есть северокорейцы 1

Об авторе

с3нки

Владелец сайта HOC.hu. Он автор сотен статей и тысяч новостей. Помимо различных онлайн-интерфейсов, он писал для Chip Magazine, а также для PC Guru. Некоторое время он управлял собственным магазином ПК, много лет проработав менеджером магазина, менеджером по обслуживанию, системным администратором в дополнение к журналистике.