Güney Kore kilerinde Kuzey Koreliler var
Kaspersky Lab'in güvenlik araştırma ekibi, öncelikle Güney Kore araştırma merkezlerini hedef alan aktif bir siber casusluk kampanyasına ilişkin en son raporunu yayınladı.
Kaspersky Lab araştırmacıları tarafından keşfedilen kampanyaya, saldırganların yalnızca 11 Güney Kore merkezli kuruluş ve Kore Savunma Araştırma Enstitüsü de dahil olmak üzere diğer iki Çin enstitüsünü tespit etmesi sayesinde çok sınırlı ve yüksek oranda hedeflenmiş bir siber suç kampanyası olan Kimsuky adı verildi. (KIDA), Güney Kore Birleşme Bakanlığı, Hyundai Merchant Marine adlı bir şirket ve Kore'nin birleşmesini destekleyen gruplar.
Saldırının en erken belirtileri 2013 Nisan 3 tarihli olabilir ve ilk Kimsuky Trojan virüsü 5 Mayıs'ta ortaya çıktı. Bu basit casus yazılım bir dizi temel kodlama hatası içerir ve Bulgaristan'daki ücretsiz bir web tabanlı e-posta sunucusu (mail.bg) aracılığıyla virüslü makinelerle iletişimi yönetir.
İlk uygulama ve dağıtım mekanizması henüz bilinmemekle birlikte, Kaspersky Lab araştırmacıları, Kimsuky virüsünün, aşağıdaki casusluk özelliklerine sahip kimlik avı e-postaları yoluyla yayılabileceğine inanıyor: keylogger, dizin listesi yakalama, uzaktan erişim ve HWP dosya hırsızlığı. . Saldırganlar, virüs bulaşmış makinelerdeki dosyaları çalmak için bir uzaktan erişim programı olan TeamViewer'ın değiştirilmiş bir sürümünü arka kapı olarak kullanır.
Kaspersky Lab uzmanları, saldırganların muhtemelen Kuzey Koreliler olduğuna dair ipuçları buldu. Virüs hedefli profiller kendileri için konuşuyor: ilk olarak, uluslararası ilişkiler, hükümet savunma politikası ve ulusal denizcilik şirketi ile Kore'nin birleşmesini destekleyen grupları inceleyen Güney Kore üniversitelerini hedef aldılar.
İkincisi, program kodu "saldırı" ve "son" kelimelerini içeren Korece kelimeleri içerir.
Üçüncüsü, botların posta eklerinde durum raporları ve virüslü sistemler hakkında bilgi gönderdiği iki e-posta adresi - [e-posta korumalı] és [e-posta korumalı] - 'kim' ile başlayan isimler altında kayıtlı: 'kimsukyang' ve 'Kim asdfa'.
Kayıtlı veriler saldırganlar hakkında gerçek bilgiler içermese de, IP adreslerinin kaynağı profille eşleşiyor: 10 IP adresinin tümü Çin'deki Jilin ve Liaoning eyaletlerinin ağına ait. Bu ISP ağlarının Kuzey Kore'nin bazı bölgelerinde mevcut olduğu bilinmektedir.
