Kaspersky Lab descobre ataque de ciberespionagem à Coreia do Sul

12 set 2013
Notícias de Vírus

  • As pistas encontradas podem indicar que a origem dos cibercriminosos é a Coreia do Norte

  • Este Trojan tem a capacidade de realizar diversas funções de espionagem entre as quais se destacam o registo de teclas premidas, o roubo do directório de contactos, o controlo de acesso remoto e o roubo de documentos HWP

A equipa de analistas de segurança da Kaspersky Lab acaba de publicar um relatório que analisa uma campanha de ciberespionagem ainda activa direccionada principalmente a think-tanks da Coreia do Sul.

Esta campanha, denominada Kimsuky, é limitada e muito específica. De acordo com a análise técnica, os atacantes mostraram interesse particular em 11 organizações com sede na Coreia do Sul e duas entidades na China, incluindo o Instituto Sejong, o Instituto de Análise de Defesa Sul-coreano (KIDA), o Ministério da Unificação Sul-coreano, a Hyundai Merchant Marine e os partidários da Unificação da Coreia.

Os primeiros sinais de actividade desta ameaça surgiram no dia 3 de Abril de 2013 e as primeiras amostras do Trojan Kimsuky apareceram a 5 de Maio de 2013. Este programa espião, altamente sofisticado, contém vários erros básicos de codificação para poder sequestrar páginas e comunicar com os equipamentos infectados através dum site de um servidor de correio electrónico gratuito da Bulgária (mail.bg).

Ainda que o mecanismo de distribuição inicial do Trojan continue por apurar, os analistas da Kaspersky Lab acham que é muito provável que o malware Kimsuky se espalhe através de emails de phishing. Este Trojan tem a capacidade de realizar diversas funções de espionagem entre as quais o registo de teclas premidas, o roubo do directório de contactos, o controlo de acesso remoto e o roubo de documentos HWP (processador de textos em coreano do pacote Office da Hancom, utilizado amplamente pelo governo local). Os cibercriminosos estão a utilizar uma versão modificada da aplicação de acesso remoto TeamViewer que lhes serve como uma porta de entrada para sequestrar os ficheiros dos equipamentos infectados.

O malware Kimsuky contém um programa malicioso concebido para roubar arquivos HWP, o que sugere que estes documentos são um dos principais objectivos dos atacantes. As pistas encontradas pelos analistas da Kaspersky Lab sugerem que a origem dos cibercriminosos será a Coreia do Norte. 

Existem várias pistas permitem supor que a Coreia do Norte pode, de facto, estar na origem desta campanha. Em primeiro lugar, as vítimas do ataque - como as universidades da Coreia do Sul que realizam investigações sobre assuntos internacionais e estão envolvidas nas políticas de defesa do governo, uma companhia de navegação nacional e think-tanks para a unificação da Coreia. Em segundo lugar, foram detectadas na análise ao malware palavras em coreano, sendo que algumas delas podem ser traduzidas por comandos de “ataque" e "finalização").

Em terceiro lugar, dois endereços de correio electrónico a partir dos quais as bots enviam relatórios de estado e transmitem informação dos sistemas infectados através de ficheiros anexos (iop110112@hotmail.com e rsh1213@hotmail.com), estão registados com o mesmo nome: "Kim": "kimsukyang" e "Kim asdfa". Apesar de estes dados de registo não proporcionarem informações concretas sobre os atacantes, os endereços IP de origem encontram-se nas províncias chinesas de Jilin e Liaoning. Os ISPs que oferecem acesso à Internet nestas províncias, também fornecem os seus serviços a parte da Coreia do Norte.

Outra interessante característica "geopolítica" do malware Kimsuky é que só desactiva as ferramentas de segurança da AhnLab, uma companhia anti-malware da Coreia do Sul.

 

© 1997 - 2014 Kaspersky Lab

Todos os direitos reservados.