Sélectionner une page

Il y a des Nord-Coréens dans le garde-manger sud-coréen

Écrit par: | 2013 octobre 01 | | 0 |

L'équipe de recherche en sécurité de Kaspersky Lab a publié son dernier rapport sur une campagne active de cyberespionnage, qui cible principalement les centres de recherche sud-coréens.

800px-Kaspersky Lab_logo.svg

La campagne, découverte par les chercheurs de Kaspersky Lab, s'appelle Kimsuky, une campagne de cybercriminalité très limitée et très ciblée, car les attaquants n'ont repéré que 11 organisations basées en Corée du Sud et deux autres instituts chinois, dont le Korean Defence Research Institute. (KIDA), le ministère sud-coréen de l'unification, une société appelée Hyundai Merchant Marine et des groupes soutenant l'unification coréenne.

 

Les premiers signes de l'attaque datent du 2013 avril 3 et le premier cheval de Troie Kimsuky est apparu le 5 mai. Ce simple logiciel espion contient un certain nombre d'erreurs de codage de base et gère la communication avec les machines infectées via un serveur de messagerie Web gratuit (mail.bg) en Bulgarie.

Bien que le mécanisme initial de mise en œuvre et de distribution ne soit pas encore connu, les chercheurs de Kaspersky Lab pensent que le virus Kimsuky est susceptible de se propager par le biais d'e-mails de phishing, qui présentent les fonctionnalités d'espionnage suivantes : keylogger, capture de liste de répertoires, accès à distance et vol de fichiers HWP. Les attaquants utilisent une version modifiée du programme Remote Access TeamViewer comme porte dérobée pour voler des fichiers sur des machines infectées.

Les experts de Kaspersky Lab ont trouvé des indices selon lesquels les attaquants sont probablement des Nord-Coréens. Les profils ciblés par les virus parlent d'eux-mêmes : d'abord, ils ciblaient les universités sud-coréennes qui mènent des recherches sur les relations internationales, la politique de défense du gouvernement et les groupes d'examen soutenant la fusion de la compagnie maritime nationale et de la Corée.

Deuxièmement, le code du programme contient des mots coréens qui incluent « attaque » et « fin ».

Troisièmement, les deux adresses e-mail auxquelles les robots envoient des rapports d'état et des informations sur les systèmes infectés dans les pièces jointes - [email protected] és [email protected] - enregistré sous les noms commençant par 'kim' : 'kimsukyang' et 'Kim asdfa'.

Bien que les données enregistrées ne contiennent pas d'informations factuelles sur les attaquants, la source de leur adresse IP correspond au profil : les 10 adresses IP appartiennent au réseau des provinces du Jilin et du Liaoning en Chine. Ces réseaux de FAI sont connus pour être disponibles dans certaines régions de la Corée du Nord.

En lisant: 2 008

Mesure:

A propos de l'auteur

s3nki

Propriétaire du site Web HOC.hu. Il est l'auteur de centaines d'articles et de milliers de nouvelles. En plus de diverses interfaces en ligne, il a écrit pour Chip Magazine et aussi pour PC Guru. Il a dirigé son propre magasin de PC pendant un certain temps, travaillant pendant des années comme directeur de magasin, directeur de service, administrateur système en plus du journalisme.

Articles Similaires

Les faux sites de réseaux sociaux se répandent

Les faux sites de réseaux sociaux se répandent

2013-06-07

En savoir plus sur le raid douanier de la semaine dernière

En savoir plus sur le raid douanier de la semaine dernière

2007-11-26

Métro japonais aux couleurs d'Apple

Métro japonais aux couleurs d'Apple

2005-07-11

Nous pouvons maintenant télécharger des vidéos plus longues sur YouTube

Nous pouvons maintenant télécharger des vidéos plus longues sur YouTube

2010-07-30

bannière

ranvée

Appareils électroménagers Ranvee