Добавить новость
Добавить компанию
Добавить мероприятие
«Лаборатория Касперского» раскрывает новую кампанию кибершпионажа против Южной Кореи
12.09.2013 13:04
версия для печати
Признаки активности были замечены 3 апреля 2013 года, а первые образцы троянца Kimsuky стали доступны 5 мая. Эту относительно несложную шпионскую программу отличает наличие ошибок в коде, а также осуществление коммуникаций с помощью болгарского бесплатного почтового сервера mail.bg. Хотя точный способ заражения еще не установлен, эксперты «Лаборатории Касперского» уверены, что распространение Kimsuky происходило посредством рассылки целевых фишинговых писем. Этот троянец обладает таким функционалом, как слежение за нажатием клавиш, составление и кража списка файлов во всех каталогах, удаленное управление компьютером и хищение документов формата HWP, повсеместно используемого в южнокорейских госучреждениях в составе пакета Hancom Office. Наличие последнего функционала дает все основания полагать, что кража HWP-файлов – одна из основных задач троянца. Также атакующие используют модифицированную версию легитимного приложения удаленного управления компьютером TeamViewer в качестве бэкдора, с помощью которого затем получают любые файлы с зараженной машины. Улики, обнаруженные экспертами «Лаборатории Касперского», дают возможность предполагать наличие «следа» Северной Кореи. Прежде всего, список целей атаки говорит сам за себя – южнокорейские университеты, занимающиеся изучением международных отношений и разработкой государственной оборонной политики, национальная логистическая компания и группы политических активистов, выступающих за объединение республики Корея. Во-вторых, строка кода зловреда содержит корейские слова, которые переводятся как «атака» и «финал». Наконец, два почтовых адреса iop110112@hotmail.com и rsh1213@hotmail.com, на которые зараженные компьютеры отправляют уведомления о своем статусе и пересылают украденные данные во вложениях, зарегистрированы на имя Kim: kimsukyang и Kim asdfa. И, несмотря на то, что эта регистрационная информация не раскрывает ничего о злоумышленниках, их IP-адреса дополняют картину: 10 зарегистрированных IP-адреса принадлежат сети китайских провинций Гирин и Ляонин, граничащих с Северной Кореей. По различным данным, поставщики услуг, предоставляющие доступ в Интернет в этих провинциях, также имеют проложенную сеть в некоторых регионах Северной Кореи. Еще один интересный геополитический аспект Kimsuky в том, что он обходит только защитные продукты южнокорейской антивирусной компании AhnLab. В свою очередь продукты «Лаборатории Касперского» детектируют и нейтрализуют эти угрозы, классифицируя их как Trojan.Win32.Kimsuky, а модифицированные компоненты TeamViewer как Trojan.Win32.Patched.ps. «Безусловно, Kimsuky – еще одно доказательство того, что кибершпионаж становится все более популярным инструментом на международной арене. Однако эта кампания интересна еще и тем, что троянец написан с откровенными ошибками и обладает довольно простым функционалом. Это говорит о том, что уже сегодня даже небольшая группа людей при помощи относительно несложного вредоносного кода может совершить атаку на крупные организации и государственные структуры. На основании этого мы можем ожидать в скором будущем появления еще большего количества подобных кампаний – возможно, не самых профессиональных с точки зрения технического исполнения, но от того не менее опасных», – прокомментировал Дмитрий Тараканов, антивирусный эксперт «Лаборатории Касперского». Редактор раздела: Алена Журавлева (info@mskit.ru) Рубрики: Безопасность Ключевые слова: информационная безопасность сетей, информационная безопасность защита, безопасность информационных систем обеспечение безопасности, анализ информационной безопасности, информационная безопасность организации, безопасность, информационная безопасность, сетевая безопасность, системы безопасности, защита персональных данных, персональные данные
наверх
Для того, чтобы вставить ссылку на материал к себе на сайт надо:
|
|||||
А знаете ли Вы что?
NNIT.RU: последние новости Нижнего Новгорода и Поволжья13.11.2024 Т2 запустил первый тариф после ребрендингаз> 31.10.2024 «Осенний документооборот – 2024»: взгляд в будущее системы электронного документооборотаз>
|
||||