Киберпреступники атакуют организации Южной Кореи и Китая

Эксперты антивирусной компании «Лаборатория Касперского» выявили новую кампанию кибершпионажа, нацеленную преимущественно на южнокорейские государственные структуры и научно-исследовательские институты, говорится в сообщении компании.

Согласно анализу компании, операция, получившая название Kimsuky, ограничена и таргетирована, ее целями являлись 11 организаций в Южной Корее и 2 — в Китае. В частности, атаке подверглись Сечжонский институт, Корейский институт защитного анализа (KIDA), Министерство объединения, логистическая компания Hyundai Merchant Marine и сторонники объединения республики Кореи.

Признаки активности эксперты выявили 3 апреля 2013 года, а первые образцы троянца Kimsuky стали доступны 5 мая. По данным «Лаборатории Касперского», несложную шпионскую программу отличает наличие ошибок в коде, а также осуществление коммуникаций с помощью болгарского бесплатного почтового сервера mail.bg.

Точный способ заражения еще не установлен, но эксперты уверены, что распространение Kimsuky происходило посредством рассылки целевых фишинговых писем. Этот троянец обладает таким функционалом, как слежение за нажатием клавиш, составление и кража списка файлов во всех каталогах, удаленное управление компьютером и хищение документов формата hwp, повсеместно используемого в южнокорейских госучреждениях в составе пакета Hancom Office. В связи с наличием последнего функционала в компании предположили, что кража hwp-файлов — одна из основных задач троянца, отмечается в сообщении.

Атакующие также используют модифицированную версию легитимного приложения удаленного управления компьютером TeamViewer в качестве бэкдора (программа, устанавливаемая злоумышленником на взломанный компьютер пользователя после получения первоначального доступа с целью повторного получения доступа к системе), с помощью которого затем получают любые файлы с зараженной машины.

Эксперты «Лаборатории Касперского» предполагают наличие «следа» Северной Кореи, в частности, из-за списка целей атаки — южнокорейские университеты, занимающиеся изучением международных отношений и разработкой государственной оборонной политики, национальная логистическая компания и группы политических активистов, выступающих за объединение республики Корея. Во-вторых, строка кода вредоносной программы содержит корейские слова, которые переводятся как «атака» и «финал».

Согласно сообщению, два почтовых адреса iop110112@hotmail.com и rsh1213@hotmail.com, на которые зараженные компьютеры отправляют уведомления о своем статусе и пересылают украденные данные во вложениях, зарегистрированы на имя Kim: kimsukyang и Kim asdfa. И хотя эта регистрационная информация не раскрывает данных злоумышленников, 10 зарегистрированных IP-адресов принадлежат сети китайских провинций Гирин и Ляонин, граничащих с Северной Кореей. По различным данным поставщики услуг, предоставляющие доступ в интернет в этих провинциях, также имеют проложенную сеть в некоторых регионах Северной Кореи.

По словам Дмитрия Тараканова, антивирусного эксперта «Лаборатории Касперского», эта кампания интересна тем, что троянец написан с откровенными ошибками и обладает довольно простым функционалом, что говорит о том, что сегодня даже небольшая группа людей при помощи относительно несложного вредоносного кода может совершить атаку на крупные организации и государственные структуры.