韩国食品储藏室里有朝鲜人
卡巴斯基实验室的安全研究团队发布了关于主要针对韩国研究中心的活跃网络间谍活动的最新报告。
卡巴斯基实验室研究人员发现的这一活动被称为 Kimsuky,这是一项非常有限且针对性很强的网络犯罪活动,因为攻击者只发现了 11 个韩国组织和另外两个中国机构,包括韩国国防研究所。 (KIDA)、韩国统一部、一家名为现代商船的公司以及支持韩国统一的团体。
最早的攻击迹象可以追溯到 2013 年 3 月 5 日,第一个 Kimsuky 木马病毒出现在 XNUMX 月 XNUMX 日。 这个简单的间谍软件包含许多基本的编码错误,并通过保加利亚免费的基于 Web 的电子邮件服务器 (mail.bg) 处理与受感染机器的通信。
尽管最初的实施和分发机制尚不清楚,但卡巴斯基实验室研究人员认为,Kimsuky 病毒很可能通过钓鱼邮件传播,其具有以下间谍功能:键盘记录器、目录列表捕获、远程访问和 HWP 文件盗窃。 攻击者使用远程访问程序 TeamViewer 的修改版本作为后门来窃取受感染机器上的文件。
卡巴斯基实验室的专家发现了攻击者可能是朝鲜人的线索。 以病毒为目标的简介不言自明:首先,它们针对的是在国际关系、政府国防政策和审查支持国家航运公司与韩国合并方面进行研究的韩国大学。
其次,程序代码包含韩语单词,包括“攻击”和“结束”。
第三,僵尸程序发送状态报告和邮件附件中有关受感染系统信息的两个电子邮件地址 - [电子邮件保护] éS [电子邮件保护] - 以“kim”开头的名字注册:“kimsukyang”和“Kim asdfa”。
虽然注册的数据不包含攻击者的真实信息,但他们的 IP 地址来源与配置文件相符:所有 10 个 IP 地址都属于中国吉林和辽宁省的网络。 众所周知,这些 ISP 网络在朝鲜的某些地区可用。