Kaspersky Lab: szkodliwe programy III kw. 2013

Przeczytaj także: Kaspersky Lab: szkodliwe programy II kw. 2013

Na podstawie listy adresów IP wykorzystywanych do monitorowania i kontrolowania infrastruktury eksperci z firmy Kaspersky Lab zakładają, że niektórzy gracze stojący za tą operacją mieszkają w co najmniej trzech państwach: Chinach, Korei Południowej i Japonii.

Kimsuky

We wrześniu zespół badawczy z firmy Kaspersky Lab opublikował raport, w którym analizowano aktywną kampanię cyberszpiegowską, której głównym celem były grupy doradcze z Korei Południowej.

Kampania ta, nosząca nazwę Kimsuky, ma ograniczony zasięg i jest wysoce ukierunkowana. Z analizy technicznej wynika, że osoby atakujące były zainteresowane 11 organizacjami zlokalizowanymi w Korei Południowej i dwoma podmiotami w Chinach, włączając Instytut Sejong, Koreański Instytut Analiz Obronnych, Południowokoreańskie Ministerstwo Unifikacji, Hyundai Merchant Marine i Zwolenników Zjednoczenia Korei.

Najwcześniejsze oznaki aktywności Kimsuky odnotowano 3 kwietnia 2013 r., a pierwsze próbki trojana Kimsuky pojawiły się 5 maja 2013 r. Ten niewyrafinowany program szpiegowski zawiera kilka podstawowych błędów w kodowaniu i obsługuje komunikację do i z zainfekowanych maszyn za pośrednictwem bułgarskiego, darmowego sieciowego serwera poczty.

Chociaż pierwotny mechanizm rozprzestrzeniania szkodliwego oprogramowania pozostaje nieznany, specjaliści z Kaspersky Lab uważają, że szkodliwe oprogramowanie Kimsuky jest najprawdopodobniej dostarczane za pośrednictwem e-maili typu spear-phishing i potrafi wykonywać następujące funkcje szpiegujące: rejestrowanie uderzeń klawiszy, dostęp do zdalnej kontroli oraz kradzież dokumentów HWP (związanych z południowokoreańskim edytorem tekstu z pakietu Hancom Office, powszechnie wykorzystywanym przez lokalny rząd). Osoby atakujące wykorzystują zmodyfikowaną wersję aplikacji umożliwiającej zdalny dostęp, TeamViewer, która pełni funkcję backdoora służącego do przechwytywania plików z zainfekowanych maszyn.

Szkodliwe oprogramowanie Kimsuky zawiera wyspecjalizowany szkodliwy program, którego celem jest kradzież plików HWP, co sugeruje, że dokumenty te stanowią jeden z głównych celów tej grupy.

Wskazówki znalezione przez ekspertów z Kaspersky Lab sugerują, że osoby atakujące pochodzą z Korei Północnej. Już same profile celów mówią za siebie – południowokoreańskie uniwersytety prowadzące badania w dziedzinie spraw międzynarodowych i kształtujące politykę obronną rządu, krajowa firma spedycyjna oraz zwolennicy zjednoczenia Korei.

Po drugie, ciąg ścieżki kompilacji zawieraja koreańskie słowa (niektóre z nich można by przetłumaczyć jako angielskie polecenia “atak” i “wykonanie”).

Po trzecie, dwa adresy e-mail, na które boty wysyłają raporty dotyczące stanu oraz informacje dotyczące zainfekowanego systemu za pośrednictwem załączników - iop110112@hotmail.com i rsh1213@hotmail.com – zostały zarejestrowane przy użyciu następujących nazw “kim”: “kimsukyang” i “Kim asdfa”. Chociaż te dane rejestracyjne nie zawierają jednoznacznych informacji identyfikujących sprawców, źródłowe adresy IP osób atakujących pasują do profilu: istnieje 10 adresów IP i wszystkie z nich znajdują się w sieci prowincji Jilin i sieci prowincji Liaoning w Chinach. Dostawcy usług internetowych w tych prowincjach podobno dostarczają łącze także do niektórych części Korei Północnej.

Historie związane z niektórymi szkodnikami

Aresztowanie autora zestawu exploitów Blackhole

Na początku października w Rosji aresztowano autora Blackhole, znanego jako Paunch, oraz jego partnerów. Blackhole to prawdopodobnie najskuteczniejszy zestaw exploitów w ostatnich latach. Jest wydzierżawiany cyberprzestępcom, którzy chcą rozprzestrzeniać szkodliwe oprogramowanie za pośrednictwem ataków drive-by download – obecnie najpopularniejszego wektora ataków. W celu zainfekowania maszyn użytkowników przestępcy wykorzystują szkodliwe odsyłacze prowadzące do zhakowanych stron internetowych, a następnie wybierane są odpowiednie exploity z zestawu w zależności od wersji oprogramowania zainstalowanego na maszynie ofiary, np. Flash, Java lub Adobe Reader.