Noord-Korea verdacht van het hacken campagne tegen Zuid-Korea

0
41

Cyber-aanvallen op Zuid-koreaanse instellingen lijken te komen uit Noordelijke buur, beweert anti-virus bedrijf.

Een actieve campagne van spionage tegen de Zuid-koreaanse instellingen voor onderzoek wordt gevoerd door Noord-Korea, volgens een onderzoek van Kaspersky.

De IT-beveiligingsbedrijf zei het Noorden, in een campagne met de naam Kimsuky, is het richten van denktanks in het land en twee Chinese organisaties.

De kwaadaardige monsters die we gevonden zijn in het vroege stadium malware meestal geleverd door spear-phishing e-mails.

Een totaal van elf organisaties zijn de focus van aanvallen. Ze zijn voorzien van de Sejong Instituut, Korea Instituut voor Defensie-Analyses (KIDA), de Zuid-koreaanse Ministerie van Hereniging, Hyundai Merchant Marine en de Supporters van de koreaanse Hereniging, een niet-gouvernementele organisatie.

“Deels omdat deze campagne is zeer beperkt en zeer gerichte, we hebben nog niet kunnen achterhalen hoe deze malware wordt verspreid”, zei Dmitri Tarakanov, een lab expert van Kaspersky. “De kwaadaardige monsters die we gevonden zijn in het vroege stadium malware meestal geleverd door spear-phishing e-mails.”

De malware voert keystroke logging, directory listing collectie, afstandsbediening toegang en HWP document diefstal (in verband met de Zuid-koreaanse tekstverwerkingsprogramma uit de Hancom Office-bundel, veelvuldig gebruikt door de lokale overheid). De malware ook alleen uitschakelen beveiliging tools van de koreaanse beveiligingsbedrijf Technology, die is erg populair in Zuid-Korea.

De specifieke opleiding binnen de malware ontworpen voor het stelen van HWP documenten zwaar suggereren de aankoop van deze documenten is één van de belangrijkste doelstellingen van de groep.

Aanwijzingen achtergelaten door de malware punt om de Noord-koreaanse oorsprong van de aanvallers, Kaspersky zei. De profielen van de slachtoffers – de Zuid-koreaanse universiteiten onderzoek uitvoeren over internationale zaken en het produceren van defensie het beleid voor de overheid, een nationale scheepvaartmaatschappij, en ondersteuning van de groepen voor de koreaanse hereniging – “spreken voor zich”, het bedrijf zei. Een andere aanwijzing is in de compilatie-pad gebruikt door de malware die koreaanse tekens.

“Een makkelijk zou kunnen vermoeden dat de aanvallers mogelijk uit Noord-Korea,” zei Tarakanov. “De doelstellingen die bijna perfect vallen in hun interessegebied. Aan de andere kant, het is niet moeilijk om willekeurige registratie-informatie en leiden de onderzoekers tot een duidelijk Noord-koreaanse afkomst.”

Tarakanov zei de malware was “een beetje onbedorven spy programma dat gecommuniceerd met de ‘master’ via een publiek e-mail server. Deze aanpak is eerder inherent aan vele amateur-virus-schrijvers en deze malware-aanvallen worden meestal genegeerd.”