Segundo a empresa, ataque pode ter sido criado na Coreia do
Norte
A equipe de pesquisa
de segurança da Kaspersky Lab publicou hoje um
relatório que detalha uma campanha ativa de espionagem virtual direcionada a
“think tanks” sul-coreanas.
Essa
campanha, chamada Kimsuky, é limitada e altamente direcionada: segundo
analistas técnicos, os criadores do ataque tinham como alvo 11 organizações
sediadas na Coreia do Sul e duas instituições na China, incluindo o Instituto
Sejong, o Instituto Coreano de Análises de Defesa (KIDA, Korea Institute For
Defense Analyses), o Ministério da Unificação da Coreia do Sul, a Hyundai
Merchant Marine e os Partidários da Unificação Coreana (The supporters of
Korean Unification).
Os
sinais mais antigos das atividades dessa ameaça datam de 3 de abril de 2013, e
as primeiras amostras do Trojan Kimsuky surgiram em 5 de maio de 2013. Esse
programa rudimentar inclui vários erros básicos de codificação e manipula a
comunicação de entrada e saída das máquinas infectadas por meio de um servidor
de email gratuito da Bulgária (mail.bg).
Embora
seu mecanismo de distribuição inicial ainda seja desconhecido, os pesquisadores
da Kaspersky acreditam que, provavelmente, o malware Kimsuky é disseminado por
meio de emails de phishing altamente localizados e tenha a capacidade de
executar as seguintes funções de espionagem: keylogging (registro das teclas
digitadas), coleta e listagens de diretórios, acesso remoto e roubo de
documentos HWP (relacionados ao aplicativo de edição de texto sul-coreano do
pacote Hancom Office, muito utilizado pelo governo local). Os invasores
usam uma versão modificada do aplicativo de acesso remoto TeamViewer, que atua
como backdoor para sequestrar arquivos dos computadores infectados.
O
malware Kimsuky contém um programa malicioso dedicado e criado para roubar
arquivos HWP, o que sugere que esse seja um dos principais objetivos do grupo.
Indícios
encontrados pelos especialistas da Kaspersky Lab possibilitam apontar invasores
norte-coreanos como desenvolvedores do ataque. Primeiramente, os perfis
dois possíveis alvos são claros: universidades da Coreia do Sul que realizam
pesquisas sobre relações internacionais e produzem políticas de defesa para o
governo, empresas de navegação nacionais e grupos de apoio à unificação
coreana.
Em
segundo lugar, as cadeias de caracteres encontrados durante a análise da praga
indicam que o caminho de compilação contêm palavras em coreano (por exemplo,
algumas delas poderiam ser traduzidas como os comandos em português “atacar” e
“lançar”).
Terceiro:
dois dos endereços de email para os quais os botnets enviam relatórios de
status e transmitem informações dos sistemas infectados por meio de anexos — iop110112@hotmail.com e rsh1213@hotmail.com — estão registrados
com os seguintes nomes “kim”: “kimsukyang” e “Kim asdfa”. Embora esses
dados de registro não forneçam dados sólidos sobre os invasores, seus endereços
IP de origem estão de acordo com o perfil: existem dez endereços IP de origem,
e todos eles pertencem as redes das províncias de Jilin e Liaoning, na China.
Acredita-se que os Provedores de Internet que fornecem acesso nessas regiões
também mantêm linhas em partes da Coreia do Norte.
Outra
característica “geopolítica” interessante do malware Kimsuky é que ele desativa
somente as ferramentas de segurança da AhnLab, uma empresa de antimalware
sul-coreana.
Os
produtos da Kaspersky Lab detectam e neutralizam essas ameaças com o nome
Trojan.Win32.Kimsuky, e os componentes cliente modificados do TeamViewer são
detectados como Trojan.Win32.Patched.ps.
Para
ler a pesquisa da Kaspersky Lab e o relatório completo da campanha do Kimsuky,
visite Securelist.
Sobre
a Kaspersky Lab
Kaspersky Lab é o maior
provedor privado de solução de proteção para endpoints do mundo. A empresa
ficou entre os quatro maiores fornecedores de soluções de segurança para
usuários endpoint *. Durante seus mais de 15 anos de história, a Kaspersky Lab
continua a ser uma empresa inovadora em segurança de computadores e fornece
soluções eficazes de segurança digital para grandes empresas, PME e consumidores.
A Kaspersky Lab, através da sua holding registrada no Reino Unido, opera
atualmente em cerca de 200 países e territórios ao redor do mundo, fornecendo
proteção para mais de 300 milhões de usuários. Para mais informações, visite http://brazil.kaspersky.com
Nenhum comentário:
Postar um comentário