Специалистите от компанията за информационна и интернет защита към KasperskyLab съобщават за скорошна кибератака към критично важни компютърни системи на южнокорейската държава. Виновник: обичайният заподозрян е отново Северна Корея.Kimsuky Operation, както е името на операцията, озаглавена по адресите в Hotmail, които са ползвани, като начало в кампанията, се цели в изследователски групи, занимаващи се с международни отношения в южнокорейски университети, военни мозъчни тръстове, националната корабостроителна компания на Южна Корея и групи, които подкрепят обединението на двете Кореи. "Всички тези цели представляват подходяща цел за севернокорейците", споделят в блога на Kaspersky, добавяйки, че IP-тата, от които са дошли атаките са разположени в Китай, а интернет доставчиците, които са осигурили достъп до атаките се свързват със Северна Корея.Дмитрий Тараканов от блога на компанията Securelist
споделя, че специалистите щели да сметнат атаките за работа на аматьори, когато забелязали един публичен мейл сървър, използван като команден сървър в атаката, който е поддържан в България - mail.bg, и отделно от това сбор от код, който съдържал корейски йероглифи и служел за изпълнение на атаката.Как протича комуникацията чрез mail.bg."Комуникацията между бота и оператора се осъществява посредством базирания в България безплатен имейл сървър (mail.bg)", пише Тараканов. "Ботът поддържа вградени в имейл акаунта си правомощия. След потвърждаване на автентичността му, малуерът изпраща имейли на други предварително посочени имейли и чете имейлите през входящата пощенска кутия. Всички тези дейности се извършват посредством уеб-интерфейса на mail.bg с помощта на системните функции на Wininet API".
"В тази кампания се ползват съвсем малко на брой зловредни програми, но интересното тук е, че всяка от тях е натоварена с отделна функция за шпиониране", пише Тараканов. Малуерът използван тук е снабден с ред функции за кражба на данни. Отделен модул на програмата се грижи например за записването на натисканите клавиши, за показване на съдържанието на различните директории, HWP (уиндоуски формат, който се използва в Южна Корея) документна кражба, система за дистанционен даунлоуд и изпълнение и модули за отдалечено управление.По думите на Тараканов началото на кампанията не е известно, но се предполага, че е започнала с фишинг имейл, довел до свалянето на файл, при чието изпълнение на машината е попаднал троянски кон, който е свалил допълнително малуер на компрометирания компютър. Веднъж задействал се, малуерът деактивира стената на AhnLab (южнокорейската антималуер програма), ако има такава и спира Windows Security Center, след което малуерът започва да си комуникира с mail.bg и два главни мейл акаунта в hotmail. Малуерът насочва ясно към два предишни известни китайски зловреда - Mahdi и Viking, като последният е инфектирал "събирача на семпли" в модула за показване на съдържанието на директориите - нещо, което впоследствие атакуващата страна е поправила. Според Тараканов това е пропуск на ръководителите на малуер кампанията. "Не само, че оригиналната шпионска програма има белези на добре известна малуер програма, която се засича от антивирусните продукти, атакуващата страна разкрива своите действия на киберпрестъпните банди".
