Utrecht, 11 september 2013 - Vandaag publiceert
Kaspersky Lab’s onderzoeksteam een rapport waarin het een actieve cyberspionagecampagne analyseert met als voornaamste doelwit Zuid-Koreaanse denktanks.
Deze Kimsuky-campagne heeft een beperkte omvang en is zeer doelgericht. Uit technische analyse blijkt dat de cyberspionnen geïnteresseerd waren in het aanvallen van 11 organisaties uit Zuid-Korea en twee entiteiten in China, waaronder het Sejong Instituut, het Korea Institute for Defense Analyses (KIDA), het Zuid-Koreaanse Ministerie van Eenwording, scheepvaartmaatschappij Hyundai Merchant Marine en de steungroep ‘Aanhangers van de Koreaanse Eenwording’.
De eerste tekenen van dreigingsactiviteit dateren van 3 april 2013, en de eerste voorbeelden van Kimsuky Trojans doken op 5 mei 2013 op. Dit ongecompliceerde spionageprogramma bevat diverse elementaire coderingsfouten. Het handelt de communicatie naar en van geïnfecteerde computers af via een gratis Bulgaarse online e-mailserver (
mail.bg).
Hoewel het initiële leveringsmechanisme nog onbekend is, geloven onderzoekers van Kaspersky Lab dat de Kimsuky-malware naar alle waarschijnlijkheid is geleverd via spear-phishing e-mails. De malware heeft de mogelijkheid om de volgende spionagefuncties uit te voeren: toetsaanslagen vastleggen, inzamelen directory listing, bediening en toegang op afstand en het stelen van HWP-documenten. Het laatste is gerelateerd aan de door lokale overheden intensief gebruikte Zuid-Koreaanse tekstverwerker uit de Hancom Office-bundel. De aanvallers maken gebruik van een aangepaste versie van de TeamViewer remote access applicatie. Deze dient als achterdeur om bestanden te kapen op de geïnfecteerde computers.
De Kimsuky-malware bevat een kwaadaardig programma dat speciaal is ontworpen voor het stelen van HWP-bestanden. Dit doet vermoeden dat deze documenten tot de belangrijkste doelstellingen van de groep behoren.
Deskundigen van Kaspersky Lab hebben aanwijzingen gevonden die doen vermoeden dat de aanvallers van Noord-Koreaanse afkomst zijn.Ten eerste spreken de profielen van de doelen voor zich: Zuid-Koreaanse instituten die onderzoek doen naar internationale kwesties en defensiebeleid verzorgen voor de overheid, een nationale scheepvaartmaatschappij, en steungroepen voor Koreaanse hereniging.
Ten tweede bevat het path Koreaanse woorden die zich laten vertalen als "aanval" en "voltooiing".
Ten derde zijn er twee e-mailadressen waar bots, via bijlagen, statusrapporten en informatie over geïnfecteerde systemen naar toe sturen. Deze adressen,
iop110112@hotmail.com en
rsh1213@hotmail.com, zijn geregistreerd met de volgende "Kim" namen: "Kimsukyang" en "Kim asdfa". Hoewel deze registratiegegevens geen harde feiten opleveren over de aanvallers, passen de IP-bronadressen van de aanvallers perfect in het profiel. Er horen 10 IP-adressen bij, die alle thuishoren in IP-reeksen van het Jilin Province Network en het Liaoning Province Network in China. Van de ISP's die in deze provincies internettoegang aanbieden wordt verondersteld dat zij ook lijnen beheren naar delen van Noord-Korea.
Een ander interessant "geopolitiek" kenmerk van de Kimsuky-malware is dat deze alleen beveiligingstools uitschakelt van AhnLab, een Zuid-Koreaans anti-malware bedrijf.
Kaspersky Lab's producten detecteren en neutraliseren deze bedreigingen als Trojan.Win32.Kimsuky, en gemodificeerde TeamViewer client-componenten worden gedetecteerd als Trojan.Win32.Patched.ps.
Om Kaspersky Lab's onderzoeksverhaal en het volledige rapport over de Kimsuky-campagne te lezen, verwijzen wij u graag naar
Securelist.com.
Over Kaspersky Lab
Kaspersky Lab is 's werelds grootste niet-beursgenoteerde leverancier van endpoint beveiligingsoplossingen. Het bedrijf behoort wereldwijd tot de top vier leveranciers van beveiligingsoplossingen voor eindgebruikers.* In de meer dan vijftien jaar van zijn bestaan is Kaspersky Lab altijd een innovator geweest op het gebied van IT-beveiliging en biedt het effectieve digitale beveiligingsoplossingen voor de enterprisemarkt, mkb-bedrijven en consumenten. Kaspersky Lab, met zijn holding geregistreerd in het Verenigd Koninkrijk, is thans mondiaal actief in bijna 200 landen en gebieden en biedt wereldwijd bescherming aan ruim 300 miljoen gebruikers. Meer informatie op
www.kaspersky.com.
* Het bedrijf stond als vierde genoteerd in de IDC rating Worldwide Endpoint Security Revenue by Vendor, 2011. Deze klassering werd gepubliceerd in het IDC-rapport "Worldwide Endpoint Security 2012-2016 Forecast and 2011 Vendor Shares (IDC #235930, juli 2012). Het rapport classificeerde softwareleveranciers op basis van inkomsten uit verkopen van endpoint beveiligingsoplossingen in 2011.
Voor meer informatie zie
www.kaspersky.com/nl of
www.viruslist.com voor het laatste nieuws over internetbeveiliging, alerts, analyses en nieuws, inclusief Kaspersky Virus Scanner.
Noot voor redacties:
Voor hoge resolutie beeldmateriaal en overige informatie kunt u terecht op de Kaspersky Lab Newsroom Europe -
http://newsroom.kaspersky.eu - een portal waarop eenvoudig product- en bedrijfsinformatie, facts & figures, artikelen, persberichten, afbeeldingen, video’s en audiofragmenten te vinden en te downloaden zijn. Uiteraard kunt u ook contact opnemen met onderstaande contactpersonen.
Kaspersky Lab
Caroline Breure
Tel. +31 (0)30 – 752 95 00
Caroline.Breure@kaspersky.nl
The Communication Force
Nanda Bechtholt
Tel. +31 (0) 23 56 56 850
nandab@communicationforce.com
© 2012 Kaspersky Lab. De informatie in dit document is onderhevig aan verandering zonder voorafgaande kennisgeving. De enige garanties voor producten van Kaspersky Lab en services is vastgelegd in de garantieverklaringen bij de betreffende producten en services. Niets in dit document kan worden opgevat als rechtgevend op extra garantie. Kaspersky Lab is niet aansprakelijk voor technische of redactionele fouten of weglatingen in deze publicatie.