Selecteer pagina

Er zijn Noord-Koreanen in de Zuid-Koreaanse voorraadkast

Het beveiligingsonderzoeksteam van Kaspersky Lab heeft zijn laatste rapport gepubliceerd over een actieve cyberspionagecampagne, die zich voornamelijk richt op Zuid-Koreaanse onderzoekscentra.

800px-Kaspersky Lab_logo.svg

De campagne, ontdekt door onderzoekers van Kaspersky Lab, heet Kimsuky, een zeer beperkte en zeer gerichte cybercriminaliteitscampagne, dankzij het feit dat de aanvallers slechts 11 Zuid-Koreaanse organisaties en twee andere Chinese instituten, waaronder het Korean Defense Research Institute, zagen. (KIDA), het Zuid-Koreaanse Ministerie van Eenwording, een bedrijf genaamd Hyundai Merchant Marine, en groepen die de eenwording van Korea ondersteunen.

 

De vroegste tekenen van de aanval dateren van 2013 april 3 en het eerste Kimsuky Trojan-virus verscheen op 5 mei. Deze eenvoudige spyware bevat een aantal basiscoderingsfouten en handelt de communicatie met geïnfecteerde machines af via een gratis webgebaseerde e-mailserver (mail.bg) in Bulgarije.

Hoewel het initiële implementatie- en distributiemechanisme nog niet bekend is, zijn de onderzoekers van Kaspersky Lab van mening dat het Kimsuky-virus waarschijnlijk wordt verspreid via phishing-e-mails, die de volgende spionagefuncties hebben: keylogger, het vastleggen van directorylijsten, toegang op afstand en HWP-bestandsdiefstal. Aanvallers gebruiken een aangepaste versie van TeamViewer, een programma voor externe toegang, als achterdeur om bestanden op geïnfecteerde machines te stelen.

De experts van Kaspersky Lab hebben aanwijzingen gevonden dat de aanvallers waarschijnlijk Noord-Koreanen zijn. De op virussen gerichte profielen spreken voor zich: ten eerste richtten ze zich op Zuid-Koreaanse universiteiten die onderzoek doen naar internationale betrekkingen, het defensiebeleid van de overheid en groepen onderzoeken die de fusie van de nationale rederij en Korea ondersteunen.

Ten tweede bevat de programmacode Koreaanse woorden die "attack" en "end" bevatten.

Ten derde, de twee e-mailadressen waarnaar bots statusrapporten en informatie over geïnfecteerde systemen in e-mailbijlagen sturen: [e-mail beveiligd] es [e-mail beveiligd] - geregistreerd onder de namen die beginnen met 'kim': 'kimsukyang' en 'Kim asdfa'.

Hoewel de geregistreerde gegevens geen feitelijke informatie over de aanvallers bevatten, komt de bron van hun IP-adres overeen met het profiel: alle 10 IP-adressen behoren tot het netwerk van de provincies Jilin en Liaoning in China. Het is bekend dat deze ISP-netwerken in sommige delen van Noord-Korea beschikbaar zijn.

Er zijn Noord-Koreanen in de Zuid-Koreaanse voorraadkast 1

Over de auteur

s3nki

Eigenaar van de HOC.hu-website. Hij is de auteur van honderden artikelen en duizenden nieuws. Naast verschillende online interfaces heeft hij geschreven voor Chip Magazine en ook voor de PC Guru. Hij heeft een tijd een eigen pc-shop gehad, heeft naast de journalistiek jarenlang gewerkt als winkelmanager, servicemanager, systeembeheerder.