Seite auswählen

Es gibt Nordkoreaner in der südkoreanischen Speisekammer

Geschrieben von: | 2013 | | 0 |

Das Sicherheitsforschungsteam von Kaspersky Lab hat seinen neuesten Bericht über eine aktive Cyber-Spionage-Kampagne veröffentlicht, die sich hauptsächlich an südkoreanische Forschungszentren richtet.

800px-Kaspersky Lab_logo.svg

Die von Kaspersky-Lab-Forschern entdeckte Kampagne heißt Kimsuky, eine sehr begrenzte und sehr gezielte Kampagne zur Cyberkriminalität, da die Angreifer nur 11 südkoreanische Organisationen und zwei weitere chinesische Institute, darunter das Korean Defense Research Institute, entdeckten. (KIDA), das südkoreanische Vereinigungsministerium, ein Unternehmen namens Hyundai Merchant Marine und Gruppen, die die Vereinigung Koreas unterstützen.

 

Die ersten Anzeichen des Angriffs lassen sich auf den 2013. April 3 datieren, und der erste Kimsuky-Trojaner erschien am 5. Mai. Diese einfache Spyware enthält eine Reihe grundlegender Codierungsfehler und wickelt die Kommunikation mit infizierten Computern über einen kostenlosen webbasierten E-Mail-Server (mail.bg) in Bulgarien ab.

Obwohl die anfängliche Implementierung und der Verteilungsmechanismus noch nicht bekannt sind, gehen die Forscher von Kaspersky Lab davon aus, dass der Kimsuky-Virus wahrscheinlich über Phishing-E-Mails verbreitet wird, die die folgenden Spionagefunktionen aufweisen: Keylogger, Verzeichnislistenerfassung, Fernzugriff und HWP-Dateidiebstahl. Angreifer nutzen eine modifizierte Version von TeamViewer, einem Fernzugriffsprogramm, als Hintertür, um Dateien auf infizierten Rechnern zu stehlen.

Die Experten von Kaspersky Lab haben Hinweise gefunden, dass es sich bei den Angreifern wahrscheinlich um Nordkoreaner handelt. Die auf Viren gerichteten Profile sprechen für sich: Erstens zielten sie auf südkoreanische Universitäten ab, die in den Bereichen internationale Beziehungen, staatliche Verteidigungspolitik forschen und Gruppen untersuchen, die die Fusion der nationalen Reederei und Korea unterstützen.

Zweitens enthält der Programmcode koreanische Wörter, die „Angriff“ und „Ende“ enthalten.

Drittens die beiden E-Mail-Adressen, an die Bots Statusmeldungen und Informationen über infizierte Systeme in Mail-Anhängen senden - [E-Mail geschützt] és [E-Mail geschützt] - registriert unter den mit 'kim' beginnenden Namen: 'kimsukyang' und 'Kim asdfa'.

Obwohl die registrierten Daten keine sachlichen Informationen über die Angreifer enthalten, stimmt die Quelle ihrer IP-Adresse mit dem Profil überein: Alle 10 IP-Adressen gehören zum Netzwerk der Provinzen Jilin und Liaoning in China. Es ist bekannt, dass diese ISP-Netzwerke in einigen Gebieten Nordkoreas verfügbar sind.

Lektüre: 2

Messen:

Über den Autor

s3nki

Inhaber der Website HOC.hu. Er ist Autor von Hunderten von Artikeln und Tausenden von Nachrichten. Neben diversen Online-Schnittstellen hat er für das Chip Magazine und auch für den PC Guru geschrieben. Er betrieb zeitweise einen eigenen PC-Shop, arbeitete jahrelang neben dem Journalismus als Storemanager, Serviceleiter, Systemadministrator.

zusammenhängende Posts

Gefälschte Social-Networking-Sites verbreiten sich

Gefälschte Social-Networking-Sites verbreiten sich

2013-06-07

Erfahre mehr über die Zollrazzia der letzten Woche

Erfahre mehr über die Zollrazzia der letzten Woche

2007-11-26

Japanische U-Bahn in Apple-Farben

Japanische U-Bahn in Apple-Farben

2005-07-11

Wir können jetzt längere Videos auf YouTube hochladen

Wir können jetzt längere Videos auf YouTube hochladen

2010-07-30

banner

ranvee

Ranvee Haushaltsgeräte