Северная Корея осуществила кибератаки на Южную Корею и Китай

«Лаборатория Касперского» обнаружила новую кампанию кибершпионажа, нацеленную преимущественно на южнокорейские государственные структуры и научно-исследовательские институты. Операция, получившая название Kimsuky, ограничена и таргетирована – как показал анализ, ее целями являлись 11 организаций в Южной Корее и 2 – в Китае.

Первые образцы трояна Kimsuky стали доступны 5 мая. Эту относительно несложный троян отличает наличие ошибок в коде, а также осуществление коммуникаций с помощью болгарского бесплатного почтового сервера mail.bg. Распространение Kimsuky происходило посредством рассылки целевых фишинговых писем. Функционал трояна станартный — келоггинг, составление и кража списка файлов во всех каталогах, удаленное управление компьютером и хищение документов формата HWP (используется в южнокорейских госучреждениях в составе пакета Hancom Office). Еще один интересный геополитический аспект Kimsuky в том, что он обходит только защитные продукты южнокорейской антивирусной компании AhnLab.

Два e-mail адреса iop110112@hotmail.com и rsh1213@hotmail.com , на которые зараженные компьютеры отправляют уведомления о своем статусе и пересылают украденные данные во вложениях, посещались с IP-адресов, принадлежащих сети китайских провинций Гирин и Ляонин, граничащих с Северной Кореей, также имеющие проложенную сеть в некоторых регионах Северной Кореи.