Actieve cyberspionagecampagne richt zich op Zuid-Koreaanse denktanks

Kaspersky Lab brengt een actieve cyberspionagecampagne in beeld die als voornaamste doelwit Zuid-Koreaanse denktanks heeft. De Kimsuky-campagne heeft een beperkte omvang en is zeer doelgericht. Mogelijk zit Noord-Korea achter de campagne.
Actieve cyberspionagecampagne richt zich op Zuid-Koreaanse denktanks
Uit technische analyse blijkt dat de cyberspionnen geïnteresseerd waren in het aanvallen van 11 organisaties uit Zuid-Korea en twee entiteiten in China, waaronder het Sejong Instituut, het Korea Institute for Defense Analyses (KIDA), het Zuid-Koreaanse Ministerie van Eenwording, scheepvaartmaatschappij Hyundai Merchant Marine en de steungroep ‘Aanhangers van de Koreaanse Eenwording’.
Kimsuky Trojans
De eerste tekenen van dreigende activiteiten dateren van 3 april 2013. De eerste voorbeelden van Kimsuky Trojans doken op 5 mei 2013 op. Dit ongecompliceerde spionageprogramma bevat diverse elementaire coderingsfouten. De communicatie van en naar geïnfecteerde computers vindt plaats via een gratis Bulgaarse online e-mailserver (mail.bg).
Het initiële leveringsmechanisme is nog onbekend. Onderzoekers van Kaspersky Lab vermoeden dat de Kimsuky-malware is geleverd via spear-phishing e-mails. De malware heeft de mogelijkheid om allerlei spionagefuncties uit te voeren. Zo kan de software toetsaanslagen vastleggen, directory listings verzamelen, kunnen aanvallers de machines op afstand bedienen en kunnen zij HWP-documenten stelen. HWP-documenten zijn documenten die met behulp van de Zuid-Koreaanse tekstverwerker uit de Hancom Office-bundel zijn gemaakt.
TeamViewer
De aanvallers maken gebruik van een aangepaste versie van de TeamViewer remote access applicatie. Deze dient als achterdeur om bestanden te kapen op de geïnfecteerde computers.
De aanvallers zijn waarschijnlijk van Noord-Koreaanse afkomst. De eerste aanwijzing hiervoor zijn volgens Kaspersky de doelwitten die voor de campagne zijn gekozen: Zuid-Koreaanse instituten die onderzoek doen naar internationale kwesties en defensiebeleid verzorgen voor de overheid, een nationale scheepvaartmaatschappij, en steungroepen voor Koreaanse hereniging. Daarnaast bevat het path Koreaanse woorden die vertaald kunnen worden als 'aanval' en 'voltooiing'.
E-mailadressen
De derde aanwijzing voor de afkomst van de aanvallers zijn de e-mailadressen waar bots statusrapporten en informatie over de geïnfecteerde systemen naar toe sturen. Het gaat om de e-mailadressen iop110112@hotmail.com en rsh1213@hotmail.com, die zijn geregistreerd met de namen "Kimsukyang" en "Kim asdfa". Hoewel deze registratiegegevens geen harde feiten opleveren over de aanvallers, passen de IP-bronadressen van de aanvallers perfect in het profiel. Er horen 10 IP-adressen bij, die alle thuishoren in IP-reeksen van het Jilin Province Network en het Liaoning Province Network in China. Van de ISP's die in deze provincies internettoegang aanbieden wordt verondersteld dat zij ook lijnen beheren naar delen van Noord-Korea.