A equipa de analistas de segurança da Kaspersky Lab acaba de publicar um relatório que analisa uma campanha de ciberespionagem ainda ativa direcionada principalmente a think-tanks da Coreia do Sul.
Os primeiros sinais de atividade desta ameaça surgiram no dia 3 de Abril de 2013 e as primeiras amostras do Trojan Kimsuky apareceram a 5 de Maio de 2013. Este programa espião, altamente sofisticado, contém vários erros básicos de codificação para poder sequestrar páginas e comunicar com os equipamentos infetados através um site de um servidor de correio eletrónico gratuito da Bulgária (mail.bg).
Ainda que o mecanismo de distribuição inicial do Trojan continue por apurar, os analistas da Kaspersky Lab acham que é muito provável que o malware Kimsuky se espalhe através de emails de phishing. Este Trojan tem a capacidade de realizar diversas funções de espionagem entre as quais o registo de teclas premidas, o roubo do diretório de contactos, o controlo de acesso remoto e o roubo de documentos HWP (processador de textos em coreano do pacote Office da Hancom, utilizado amplamente pelo governo local). Os cibercriminosos estão a utilizar uma versão modificada da aplicação de acesso remoto TeamViewer que lhes serve como uma porta de entrada para sequestrar os ficheiros dos equipamentos infetados.
O malware Kimsuky contém um programa malicioso concebido para roubar arquivos HWP, o que sugere que estes documentos são um dos principais objetivos dos atacantes. As pistas encontradas pelos analistas da Kaspersky Lab sugerem que a origem dos cibercriminosos será a Coreia do Norte.
Existem várias pistas permitem supor que a Coreia do Norte pode, de facto, estar na origem desta campanha. Em primeiro lugar, as vítimas do ataque - como as universidades da Coreia do Sul que realizam investigações sobre assuntos internacionais e estão envolvidas nas políticas de defesa do governo, uma companhia de navegação nacional e think-tanks para a unificação da Coreia. Em segundo lugar, foram detetadas na análise ao malware palavras em coreano, sendo que algumas delas podem ser traduzidas por comandos de “ataque" e "finalização").
Em terceiro lugar, dois endereços de correio eletrónico a partir dos quais as bots enviam relatórios de estado e transmitem informação dos sistemas infetados através de ficheiros anexos (Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar. e Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar.), estão registados com o mesmo nome: "Kim": "kimsukyang" e "Kim asdfa". Apesar de estes dados de registo não proporcionarem informações concretas sobre os atacantes, os endereços IP de origem encontram-se nas províncias chinesas de Jilin e Liaoning. Os ISPs que oferecem acesso à Internet nestas províncias, também fornecem os seus serviços a parte da Coreia do Norte.
Outra interessante característica "geopolítica" do malware Kimsuky é que só desativa as ferramentas de segurança da AhnLab, uma companhia anti-malware da Coreia do Sul.
