Aktiv cyberspionagekampagne rettet mod sydkoreanske mål

16 sep 2013
Press Releases

Kampagnen, der bliver kaldt Kimsuky, er meget målrettet. Ifølge de tekniske analyser har ophavsmændene været interesseret i at ramme 11 organisationer i Sydkorea og to i Kina, herunder bl.a. Sejong Institute, Korea Institute For Defense Analyses (KIDA), Sydkoreas Ministry of Unification og Hyundai Merchant Marine.

De første tegn på kampagnens aktiviteter viste sig 3. april 2013, og den første Kimsuky-trojaner dukkede op 5. maj 2013. Der er tale om et usofistikeret spionprogram, der indeholder flere grundlæggende kodefejl. Desuden håndteres kommunikationen mellem de inficerede maskiner af en gratis bulgarsk, webbaseret e-mailserver (mail.bg).

Selvom de første leveringsmekanismer stadig er ukendte, mener Kaspersky Labs eksperter, at malwaren sandsynligvis bliver leveret via spear-phishing-e-mails, med det formål, at aflure og stjæle fortrolige oplysninger.

Tegn på Nordkoreansk oprindelse
Kaspersky Labs eksperter har endvidere fundet tegn på, at bagmændene kan være af nordkoreansk oprindelse. Dels taler målene for sig selv – sydkoreanske universiteter, der forsker i internationale anliggender og udvikler forsvarspolitikker for staten, en national shipping-virksomhed samt supportgrupper for et forenet Korea. Dels fandt Kaspersky Lab koreanske ord i kodematerialet, herunder ord, der kan oversættes til engelske kommandoer som f.eks. ’attack’ eller ’completion’.

Endvidere fandt forskerne to e-mailadresser (iop110112@hotmail.com og rsh1213@hotmail.com), hvortil flere botnet sender rapporter omkring status og transmitterer inficerede systemer via vedhæftninger. E-mailadresserne er desuden registreret med kim-navnene kimsukyang og Kim asdfa

Selvom oplysninger som disse ikke giver hårde facts omkring gerningsmændene, passer kilde-IP-adresserne til profilen. Således er der 10 oprindelige IP-adresser, som alle ligger inden for Jilin-provinsens og Liaoning-provinsens netværk i Kina. Leverandørerne, der leverer internetadgang i disse provinser, menes også at vedligeholde internetlinjer i dele af Nordkorea.

En anden interessant geopolitisk twist ved Kamsuky er, at malwaren udelukkende deaktiverer sikkerhedsværktøjer fra AhnLab, der er en sydkoreansk anti-malwarevirksomhed.

Læs Kaspersky Labs fulde analyserapport på Securelist.com

Copyright © 1997 - 2014 Kaspersky Lab

Alle rettigheder forbeholdes. Branchens førende antivirussoftware.