Kaspersky Lab onthult cyberspionagecampagne met mogelijke links naar Noord-Korea

17 sep 2013
Virus News

Vandaag publiceert Kaspersky Lab’s onderzoeksteam een rapport waarin het een actieve cyberspionagecampagne analyseert met als voornaamste doelwit Zuid-Koreaanse denktanks.

Deze Kimsuky-campagne heeft een beperkte omvang en is zeer doelgericht. Uit technische analyse blijkt dat de cyberspionnen geïnteresseerd waren in het aanvallen van 11 organisaties uit Zuid-Korea en twee entiteiten in China, waaronder het Sejong Instituut, het Korea Institute for Defense Analyses (KIDA), het Zuid-Koreaanse Ministerie van Eenwording, scheepvaartmaatschappij Hyundai Merchant Marine en de steungroep ‘Aanhangers van de Koreaanse Eenwording’.

De eerste tekenen van dreigingsactiviteit dateren van 3 april 2013, en de eerste voorbeelden van Kimsuky Trojans doken op 5 mei 2013 op. Dit ongecompliceerde spionageprogramma bevat diverse elementaire coderingsfouten. Het handelt de communicatie naar en van geïnfecteerde computers af via een gratis Bulgaarse online e-mailserver (mail.bg).

Hoewel het initiële leveringsmechanisme nog onbekend is, geloven  onderzoekers van Kaspersky Lab dat de Kimsuky-malware naar alle waarschijnlijkheid is geleverd via spear-phishing e-mails. De malware heeft de mogelijkheid om de volgende spionagefuncties uit te voeren: toetsaanslagen vastleggen, inzamelen directory listing, bediening en toegang op afstand en het stelen van HWP-documenten. Het laatste is gerelateerd aan de door lokale overheden intensief gebruikte Zuid-Koreaanse tekstverwerker uit de Hancom Office-bundel. De aanvallers maken gebruik van een aangepaste versie van de TeamViewer remote access applicatie. Deze dient als achterdeur om bestanden te kapen op de geïnfecteerde computers.

De Kimsuky-malware bevat een kwaadaardig programma dat speciaal is ontworpen voor het stelen van HWP-bestanden. Dit doet vermoeden dat deze documenten tot de belangrijkste doelstellingen van de groep behoren.

Deskundigen van Kaspersky Lab hebben aanwijzingen gevonden die doen vermoeden dat de aanvallers van Noord-Koreaanse afkomst zijn. Ten eerste spreken de profielen van de doelen voor zich: Zuid-Koreaanse instituten die onderzoek doen naar internationale kwesties en defensiebeleid verzorgen voor de overheid, een nationale scheepvaartmaatschappij, en steungroepen voor Koreaanse hereniging.

Ten tweede bevat het path Koreaanse woorden die zich laten vertalen als "aanval" en "voltooiing".

Ten derde zijn er twee e-mailadressen waar bots, via bijlagen, statusrapporten en informatie over geïnfecteerde systemen naar toe sturen. Deze adressen, iop110112@hotmail.com en rsh1213@hotmail.com, zijn geregistreerd met de volgende "Kim" namen: "Kimsukyang" en "Kim asdfa". Hoewel deze registratiegegevens geen harde feiten opleveren over de aanvallers, passen de IP-bronadressen van de aanvallers perfect in het profiel. Er horen 10 IP-adressen bij, die alle thuishoren in IP-reeksen van het Jilin Province Network en het Liaoning Province Network in China. Van de ISP's die in deze provincies internettoegang aanbieden wordt verondersteld dat zij ook lijnen beheren naar delen van Noord-Korea.

Een ander interessant "geopolitiek" kenmerk van de Kimsuky-malware is dat deze alleen beveiligingstools uitschakelt van AhnLab, een Zuid-Koreaans anti-malware bedrijf.

Kaspersky Lab's producten detecteren en neutraliseren deze bedreigingen als Trojan.Win32.Kimsuky, en gemodificeerde TeamViewer client-componenten worden gedetecteerd als Trojan.Win32.Patched.ps.

Om Kaspersky Lab's onderzoeksverhaal en het volledige rapport over de Kimsuky-campagne te lezen, verwijzen wij u graag naar Securelist.com.