Kaspersky Lab onthult cyberspionagecampagne met mogelijke links naar Noord-Korea
Kimsuky-malware voornamelijk gericht op Zuid-Koreaanse doelenrn rnUtrecht, 11 september 2013 - Vandaag publiceert Kaspersky Lab’s onderzoeksteam een rapport waarin het een actieve cyberspionagecampagne analyseert met als voornaamste doelwit Zuid-Koreaanse denktanks.rn rnDeze Kimsuky-campagne heeft een beperkte omvang en is zeer doelgericht. Uit technische analyse blijkt dat de cyberspionnen geïnteresseerd waren in het aanvallen van 11 organisaties uit Zuid-Korea en twee entiteiten in China, waaronder het Sejong Instituut, het Korea Institute for Defense Analyses (KIDA), het Zuid-Koreaanse Ministerie van Eenwording, scheepvaartmaatschappij Hyundai Merchant Marine en de steungroep ‘Aanhangers van de Koreaanse Eenwording’.rn rnDe eerste tekenen van dreigingsactiviteit dateren van 3 april 2013, en de eerste voorbeelden van Kimsuky Trojans doken op 5 mei 2013 op. Dit ongecompliceerde spionageprogramma bevat diverse elementaire coderingsfouten. Het handelt de communicatie naar en van geïnfecteerde computers af via een gratis Bulgaarse online e-mailserver (mail.bg). rn rnHoewel het initiële leveringsmechanisme nog onbekend is, geloven onderzoekers van Kaspersky Lab dat de Kimsuky-malware naar alle waarschijnlijkheid is geleverd via spear-phishing e-mails. De malware heeft de mogelijkheid om de volgende spionagefuncties uit te voeren: toetsaanslagen vastleggen, inzamelen directory listing, bediening en toegang op afstand en het stelen van HWP-documenten. Het laatste is gerelateerd aan de door lokale overheden intensief gebruikte Zuid-Koreaanse tekstverwerker uit de Hancom Office-bundel. De aanvallers maken gebruik van een aangepaste versie van de TeamViewer remote access applicatie. Deze dient als achterdeur om bestanden te kapen op de geïnfecteerde computers.rn rnDe Kimsuky-malware bevat een kwaadaardig programma dat speciaal is ontworpen voor het stelen van HWP-bestanden. Dit doet vermoeden dat deze documenten tot de belangrijkste doelstellingen van de groep behoren.rn rnDeskundigen van Kaspersky Lab hebben aanwijzingen gevonden die doen vermoeden dat de aanvallers van Noord-Koreaanse afkomst zijn. Ten eerste spreken de profielen van de doelen voor zich: Zuid-Koreaanse instituten die onderzoek doen naar internationale kwesties en defensiebeleid verzorgen voor de overheid, een nationale scheepvaartmaatschappij, en steungroepen voor Koreaanse hereniging.rn rnTen tweede bevat het path Koreaanse woorden die zich laten vertalen als "aanval" en "voltooiing". rn rnTen derde zijn er twee e-mailadressen waar bots, via bijlagen, statusrapporten en informatie over geïnfecteerde systemen naar toe sturen. Deze adressen, [email protected] en [email protected], zijn geregistreerd met de volgende "Kim" namen: "Kimsukyang" en "Kim asdfa". Hoewel deze registratiegegevens geen harde feiten opleveren over de aanvallers, passen de IP-bronadressen van de aanvallers perfect in het profiel. Er horen 10 IP-adressen bij, die alle thuishoren in IP-reeksen van het Jilin Province Network en het Liaoning Province Network in China. Van de ISP's die in deze provincies internettoegang aanbieden wordt verondersteld dat zij ook lijnen beheren naar delen van Noord-Korea.rn rnEen ander interessant "geopolitiek" kenmerk van de Kimsuky-malware is dat deze alleen beveiligingstools uitschakelt van AhnLab, een Zuid-Koreaans anti-malware bedrijf.rn rnKaspersky Lab's producten detecteren en neutraliseren deze bedreigingen als Trojan.Win32.Kimsuky, en gemodificeerde TeamViewer client-componenten worden gedetecteerd als Trojan.Win32.Patched.ps. rn rnOm Kaspersky Lab's onderzoeksverhaal en het volledige rapport over de Kimsuky-campagne te lezen, verwijzen wij u graag naar Securelist.com.rn rnOver Kaspersky Lab rnKaspersky Lab is 's werelds grootste niet-beursgenoteerde leverancier van endpoint beveiligingsoplossingen. Het bedrijf behoort wereldwijd tot de top vier leveranciers van beveiligingsoplossingen voor eindgebruikers.* In de meer dan vijftien jaar van zijn bestaan is Kaspersky Lab altijd een innovator geweest op het gebied van IT-beveiliging en biedt het effectieve digitale beveiligingsoplossingen voor de enterprisemarkt, mkb-bedrijven en consumenten. Kaspersky Lab, met zijn holding geregistreerd in het Verenigd Koninkrijk, is thans mondiaal actief in bijna 200 landen en gebieden en biedt wereldwijd bescherming aan ruim 300 miljoen gebruikers. Meer informatie op www.kaspersky.com.rn rn* Het bedrijf stond als vierde genoteerd in de IDC rating Worldwide Endpoint Security Revenue by Vendor, 2011. Deze klassering werd gepubliceerd in het IDC-rapport "Worldwide Endpoint Security 2012-2016 Forecast and 2011 Vendor Shares (IDC #235930, juli 2012). Het rapport classificeerde softwareleveranciers op basis van inkomsten uit verkopen van endpoint beveiligingsoplossingen in 2011.rn
rnVoor meer informatie zie www.kaspersky.com/nl of www.viruslist.com voor het laatste nieuws over internetbeveiliging, alerts, analyses en nieuws, inclusief Kaspersky Virus Scanner.rn rnrn rn rn rn © 2012KasperskyLab. Deinformatie in dit documentis onderhevig aan veranderingzonder voorafgaande kennisgeving.De enige garanties voorproducten van Kaspersky Labenservices is vastgelegdin degarantieverklaringen bij debetreffende producten en services. Niets in dit documentkan worden opgevat alsrechtgevend op extra garantie. KasperskyLabis niet aansprakelijkvoor technische of redactionelefouten ofweglatingen in deze publicatie.rn rn rn rn
rnVoor meer informatie zie www.kaspersky.com/nl of www.viruslist.com voor het laatste nieuws over internetbeveiliging, alerts, analyses en nieuws, inclusief Kaspersky Virus Scanner.rn rnrn rn rn rn © 2012KasperskyLab. Deinformatie in dit documentis onderhevig aan veranderingzonder voorafgaande kennisgeving.De enige garanties voorproducten van Kaspersky Labenservices is vastgelegdin degarantieverklaringen bij debetreffende producten en services. Niets in dit documentkan worden opgevat alsrechtgevend op extra garantie. KasperskyLabis niet aansprakelijkvoor technische of redactionelefouten ofweglatingen in deze publicatie.rn rn rn rn
