Scoperti possibili collegamenti con la Corea del Nord
Gli esperti di Kaspersky Lab hanno pubblicato un report che analizza la campagna di cyber spionaggio che colpisce alcuni obiettivi sensibili sud coreani.
La campagna, conosciuta con il nome di Kimsuky, è limitata ad un target ben preciso. Secondo gli analisti, infatti, i criminali erano interessati a 11 organizzazioni situate in Corea del Sud e due in Cina, compreso il Sejong Institute, il Korea Institute For Defense Analyses (KIDA), il Ministero dell’Unificazione della Corea del Sud, lo Hyundai Merchant Marine e alcuni sostenitori dell’unificazione della Corea.
I primi segni di questa attività risalgono al 3 aprile 2013, ma il primo sample di Trojan Kimsuky è apparso il 5 maggio del 2013. Questo programma di spionaggio, non particolarmente sofisticato, include numerosi errori di codificazione molto elementari e gestisce le comunicazioni tra le macchine infette attraverso un server di free email bulgaro (mail.bg).
Nonostante le modalità della prima infezione rimangano sconosciute, i ricercatori di Kaspersky sono convinti che il malware Kimsuky sia stato distribuito attraverso email di spear-phishing, che hanno la capacità di portare avanti attività di spionaggio quali keystroke logging, directory listing collection, remote control access e HWP document theft (relativi ad application di word processing della sud coreana Hancom Office, spesso utilizzata da enti governativi locali). I criminali hanno utilizzato una versione modificata dell’applicazione di accesso remoto TeamViewer per avere una backdoor attraverso la quale rubare file dalle macchine infette.
Il malware Kimsuky contiene un programma nocivo dedicato, creato per sottrarre file HWP e questo suggerisce che tali documenti siano il principale obiettivo del gruppo.
Indizi raccolti dagli esperti di Kaspersky Lab fanno ritenere che l’origine degli attacchi sia la Corea del Nord. Prima di tutto, il profilo stesso degli obiettivi parla da sè (ovvero personalità della Corea del Sud che si occupano di ricerca, affari internazionali, difesa, marina e gruppi di supporto per l’unificazione della Corea).
In secondo luogo, una stringa di compilazione che utilizza parole coreane (ad esempio, alcune di queste potrebbero essere tradotte in inglese con parole quali ‘attacco’ o ‘completamento’).
Terzo, due indirizzi email ai quali le bot mandano i report sullo status della trasmissione di infezione ai sistemi attraverso gli attachment – iop110112@hotmail.com e rsh1213@hotmail.com – sono registrati con i seguenti nomi “kim”: “kimsukyang” e “Kim asdfa”. Anche se questi dati non forniscono prove concrete sui criminali, l’indirizzo IP degli attaccanti invece fornisce un dettaglio importante: i 10 indirizzi IP sono tutti situati nella provincia di Jilin e Liaoning in Cina. L’ISP che fornisce l’accesso a Internet in queste province è considerato vicino ad ambienti della Corea del Nord.
Un altro aspetto geopolitico interessante del malware è che disabilita dispositivi di sicurezza realizzati dall’azienda AhnLab, della Corea del Sud.
I prodotti di Kaspersky Lab intercettano e neutralizzano le minacce quali Trojan.Win32.Kimsuky, mentre le componenti client di TeamViewer modificate vengono intercettate come Trojan.Win32.Patched.ps.