Seleziona pagina

Ci sono nordcoreani nella dispensa sudcoreana

Il team di ricerca sulla sicurezza di Kaspersky Lab ha pubblicato il suo ultimo rapporto su una campagna di spionaggio informatico attiva, che si rivolge principalmente ai centri di ricerca sudcoreani.

800px-Kaspersky Lab_logo.svg

La campagna, scoperta dai ricercatori di Kaspersky Lab, si chiama Kimsuky, una campagna di cybercrime molto limitata e altamente mirata, grazie al fatto che gli aggressori hanno individuato solo 11 organizzazioni con sede in Corea del Sud e altri due istituti cinesi, tra cui il Korean Defense Research Institute. (KIDA), il Ministero dell'Unificazione della Corea del Sud, una società chiamata Hyundai Merchant Marine e i gruppi che sostengono l'unificazione della Corea.

 

I primi segni dell'attacco risalgono al 2013 aprile 3 e il primo virus Kimsuky Trojan è apparso il 5 maggio. Questo semplice spyware contiene una serie di errori di codifica di base e gestisce la comunicazione con le macchine infette attraverso un server di posta elettronica gratuito basato sul Web (mail.bg) in Bulgaria.

Sebbene l'implementazione iniziale e il meccanismo di distribuzione non siano ancora noti, i ricercatori di Kaspersky Lab ritengono che il virus Kimsuky possa diffondersi tramite e-mail di phishing, che hanno le seguenti funzionalità di spionaggio: keylogger, acquisizione di elenchi di directory, accesso remoto e furto di file HWP. . Gli aggressori utilizzano una versione modificata di TeamViewer, un programma di accesso remoto, come backdoor per rubare file su macchine infette.

Gli esperti di Kaspersky Lab hanno trovato indizi secondo cui gli aggressori potrebbero essere nordcoreani. I profili mirati al virus parlano da soli: in primo luogo, hanno preso di mira le università sudcoreane che stanno conducendo ricerche nelle relazioni internazionali, nella politica di difesa del governo e nell'esame di gruppi a sostegno della fusione della compagnia di navigazione nazionale e della Corea.

In secondo luogo, il codice del programma contiene parole coreane che includono "attacco" e "fine".

In terzo luogo, i due indirizzi e-mail a cui i bot inviano rapporti sullo stato e informazioni sui sistemi infetti negli allegati di posta - [email protected] és [email protected] - registrati con i nomi che iniziano con 'kim': 'kimsukyang' e 'Kim asdfa'.

Sebbene i dati registrati non contengano informazioni fattuali sugli aggressori, la fonte del loro indirizzo IP corrisponde al profilo: tutti e 10 gli indirizzi IP appartengono alla rete delle province di Jilin e Liaoning in Cina. Queste reti ISP sono note per essere disponibili in alcune aree della Corea del Nord.

Ci sono nordcoreani nella dispensa sudcoreana 1

Circa l'autore

s3nki

Proprietario del sito web HOC.hu. È autore di centinaia di articoli e migliaia di notizie. Oltre a varie interfacce online, ha scritto per Chip Magazine e anche per PC Guru. Per un certo periodo ha gestito il proprio negozio di PC, lavorando per anni come responsabile di negozio, responsabile del servizio, amministratore di sistema oltre che nel giornalismo.