Echipa de cercetare a Kaspersky Lab a publicat un raport care analizează o campanie de cyber-spionaj activă care vizează în principal „think-tank”-uri din Coreea de Sud, se arată într-un comunicat remis „Adevărul“.

Această campanie, denumită Kimsuky, este limitată şi cu ţinte foarte bine definite. Potrivit analizei tehnice, atacatorii au vizat 11 organizaţii din Coreea de Sud şi două entităţi din China, inclusiv Institutul Sejong, Institutul Corean de analiză pentru apărare (Korea Institute For Defense Analyses (KIDA), Ministerul Sud-Coreean de Unificare, compania Hyunday Merchant Marine şi pe suporterii Unificării Coreene.

Primele semne ale activităţii în ceea ce priveşte această campanie datează din 3 aprilie 2013, iar primele mostre ale Troianului Kimsuky au apărut pe 5 mai 2013. Acest program nesofisticat de spionaj include mai multe erori de codare de bază şi administrează comunicaţiile către şi dinspre dispozitivele infectate prin intermediul unui server web based de e-mail din Bulgaria (mail.bg).

Deşi mecanismul iniţial de livrare rămâne necunoscut, cercetătorii Kaspersky Lab consideră că malware-ul Kimsuky este, cel mai probabil, livrat prin intermediul e-mail-urilor de tip „spear-phising” şi are capacitatea de a îndeplini următoarele mecanisme de spionaj: keylogger, colectarea listelor de fişiere, accesul de la distanţă şi furtul documentelor HWP (care au legătură cu aplicaţia Sud-Coreeană de procesare a textelor de la Hancom Office, utilizată pe scară largă de către guvernul local). Atacatorii folosesc ca backdoor şi o versiune modificată a TeamViewer, o aplicaţie cu acces de la distanţă, pentru a fura orice tip de document din computerele infectate.

Malware-ul Kimsuky conţine un program dedicat care are ca scop furtul de fişiere HWP, ceea ce sugerează că acest tip de documente reprezintă ţinta principală a grupului.

Indiciile