Cyberspionage mot sydkoreanska organisationer

11 sep 2013
Virus News

I en ny rapport beskriver IT-säkerhetsföretaget Kaspersky Lab hur man har analyserat en aktiv cyberspionageattack med sydkoreanska måltavlor. Ledtrådar pekar på kopplingar till Nordkorea.

Cyberspionageattacken, med namnet Kimsuky, är begränsad och mycket målinriktad: endast elva organisationer baserade i Sydkorea och två enheter i Kina har utsatts. Bland annat Sejonginstitutet, Koreas institut för försvarsanalys (KIDA), Sydkoreas ministerium för återförening, anhängare av Koreas återförening och Hyundais handelsflotta.

De tidigaste spårbara tecknen från angriparnas aktiviteter är från 3 april i år och den första trojanen dök upp 5 maj. Spionprogrammet är förhållandevis osofistikerat och innehåller flera enkla programmeringsfel. Kommunikation till och från infekterade datorer sker via en webbaserad kostnadsfri mejlserver i Bulgarien (mail.bg).

Även om det fortfarande är okänt hur det skadliga programmet sprids till offrens datorer tror Kaspersky Labs experter att det mest sannolikt görs genom så kallat harpunfiske, det vill säga skräddarsydda mejl skickade till en specifik mottagare. Men tror även att programmet har förmåga att utföra spionage i form av tangentläsning, insamling av kataloglistor, fjärrstyrning samt dokumentstölder. Angriparna använder en modifierad version av fjärrstyrningsprogrammet TeamViewer som en bakdörr till den infekterade datorn för att kunna stjäla filer.

Utöver måltavlornas profiler har Kaspersky Lab hittat flera ledtrådar som pekar mot Nordkorea. Bland annat har söktrådar med koreanska ord påträffats, där vissa skulle kunna översättas till engelska kommadon som ”attack” och ”completion”. En annan ledtråd är två mejladresser till vilka programmet har skickat statusrapporter och information om infekterade system. Adresserna är registrerade med namn innehållande ”kim” (kimsukyang och Kim asdfa) vilket förvisso inte utgör ett konkret bevis om vilka angriparna är. Däremot stämmer angriparnas IP-adresser in på profilen: det finns tio stycken ursprungliga IP-adresser och samtliga ligger inom nära räckhåll från nätverken i de kinesiska provinserna Jilin och Liaoning. Internetleverantörerna i dessa provinser tros även ha linjer till delar av Nordkorea.

En annan intressant ”geopolitisk” egenskap hos Kimsuky är att programmet endast sätter säkerhetsverktyg från AhnLab, ett sydkoreanskt antivirusföretag, ur spel.

Kaspersky Labs produkter upptäcker och oskadliggör dessa hot som Trojan.Win32.Kimsuky. Modifierade TeamViewer-komponenter identifieras som Trojan.Win32.Patched.ps.

För mer information läs artikeln på Securelist här.



Copyright © 1997 - 2014 Kaspersky Lab

Med ensamrätt. Branschledande antivirusskydd.