Több hónapos nyomozás után a Kaspersky biztonsági kutatói fényt derítettek egy új számítógépes kémkedési kampányra (Kimsuky), ami dél-koreai szervezetek ellen irányul.
A kampány a Kimsuky nevet azért kapta, mert a hackerek beégetett e-mail fiókokat használtak az ellopott adatok fogadásához, és ezen fiókok regisztrálóinak nevében mind szerepel a “Kim” szó.
“Érdekes, hogy a lerakatul szolgáló e-mail fiókok (iop110112[at]hotmail[dot]com és rsh1213[at]hotmail[dot]com) a következő nevekre vannak regisztrálva : “kimsukyang” és “Kim asdfa”. “
A Kimsuky számítógépes kémkedési kampányról úgy tűnik, hogy észak-koreai eredetű és számos szervezetet elért, amelyek közül tizenegy Dél-Koreában, kettő pedig Kínában található, többek között a Koreai Védelmi Elemzések Intézete (KIDA), a Sejong Intézet, a Hyundai Merchant Marine (szállítási cég), valamint a Koreai Egyesítési Minisztérium.
A biztonsági szakértők szerint a számítógépes bűnözők bizonyos nemzetközi ügyeket támogató szervezetekről akartak információt gyűjteni, például azokról, amelyek támogatják a koreai egyesítéssel foglalkozó csoportokat, állami védelmi rendszabályokkal foglalkoznak, továbbá a nemzeti szállítmányozási cégekről és az egyetemekről.
A Kaspersky kutatói kimutatták, hogy a művelet egyedi jellegzetességeket mutat, ami a végrehajtását és a logisztikáját illeti. A vizsgálat az után kezdődött, hogy egy szakértői csoport egy egyszerű kémprogramot észlelt, ami egy nyilvános e-mail szerveren keresztül kommunikált az irányító szerverrel (C&C – command-and-control), ami általában amatőr megközelítésre vall. Volt azonban néhány dolog, ami felkeltette a figyelmüket:
– A nyilvános e-mail szerver bolgár volt: mail.bg
– A beégetett elérési út koreai írásjeleket tartalmazott.
Ez a két tény arra késztette őket, hogy egy közelebbi pillantást vessenek a malware-re.
A malware-ben talált teljes elérési út a következő (benne a koreai írásjelekkel):
D:\rsh\공격\UAC_dll(완성)\Release\test.pdb
Az “rsh” a “Remote Shell” rövidítése, a koreai szavak pedig a “támadás” (attack) és a “befejezés” (completion) jelentéssel bírnak, tehát lefordítva:
D:\rsh\ATTACK\UAC_dll(COMPLETION)\Release\test.pdb
A támadók olyan malware-rel fertőzték meg az áldozatokat, amely képes a PC távoli elérésre és irányítására, naplózza a billentyűleütéseket, HWP (koreai Word) dokumentumokat lop el, és könyvtárlistákat gyűjt ki. Rendszerindításkor kikapcsolja a rendszertűzfalat és a dél-koreai biztonsági terméket gyártó AhnLab cég által készített tűzfalakat is.
Az ügynök programok bolgár, webes felületű, ingyenes e-mail szerveren (mail.bg) keresztül kommunikálnak a C&C szerverrel, amihez beégetett azonosítókat használnak. Hitelesítés után a malware e-mail-eket küld egy másik megadott e-mail címre, és megnézi a “Bejövő levelek” mappa tartalmát. Utóbbi segítségével parancsokat fogadhat.
A Kaspersky kutatócsoportja kimutatta, hogy a malware nem terjed, és annak ellenére, hogy nem világos a terjedési vektor, valószínű hogy a hackerek spear phishing e-mail-ekkel terjesztették.
A számítógépes bűnözők által használt IP-címek mindegyike a kínai Jilin Province Network és a Liaoning Province Network internetszolgáltatók tartományaiba esnek, ezek a szolgáltatók kezelik az észak-koreai internet vonalakat is.
Az összegyűjtött bizonyítékokok alapján a biztonsági kutatók azt feltételezik, hogy a Kimsuky műveletet Észak-Koreából indították.