Kaspersky LabInternet Software 

Kaspersky Lab analiza campaña activa de ciberespionaje principalmente centrada en entidades de Corea del Sur

Kaspersky

Posibles vínculos de la operación con Corea del Norte son descubiertos 

SUNRISE, FL, 11 de septiembre de 2013— En el día de hoy, el equipo de investigación de seguridad de Kaspersky Lab publicó un informe que analiza una campaña activa de ciberespionaje principalmente centrada en entidades de Corea del Sur.

Esta campaña, denominada Kimsuky, es limitada y muy específica. Según el análisis técnico,  los atacantes estaban interesados  en 11 organizaciones en Corea del Sur y dos entidades en China como posibles blancos, incluyendo el Instituto Sejong, el Instituto de Corea para Análisis de Defensa (KIDA), el Ministerio de Unificación de Corea del Sur, Hyundai Merchant Marine y partidarios de la unificación coreana.

Los primeros signos de actividad de esta amenaza se remontan al 3 de abril de 2013, y las primeras muestras del troyano Kimsuky aparecieron el 5 de mayo de 2013. Este programa de espionaje poco sofisticado incluye diversos errores de codificación básica y maneja las comunicaciones hacia y  desde máquinas infectadas vía un servidor de correo electrónico gratuito con base en un sitio web de Bulgaria (mail.bg).

Si bien el mecanismo de distribución inicial sigue siendo desconocido, los investigadores de Kaspersky  Lab creen que el malware Kimsuky muy probablemente se distribuye a través de correos electrónicos de phishing dirigidos (spear-phishing) y tiene la capacidad de llevar a cabo las siguientes funciones de espionaje: registro de teclas, recopilación de listados de directorios, acceso por control remoto y robo de documentos HWP (relacionados con el procesador de texto de Corea del Sur del paquete Hancom Office, muy usado por el gobierno local).  Los atacantes están utilizando una versión modificada de la aplicación de acceso remoto TeamViewer como puerta de entrada furtiva para apropiarse de cualquier archivo de las máquinas infectadas.

El malware Kimsuky contiene un programa malicioso específico diseñado para robar archivos HWP, que sugiere que estos documentos son uno de los principales objetivos del grupo.

Las pistas halladas por los expertos de Kaspersky Lab apuntan a atacantes de Corea del Norte. En primer lugar, los perfiles de los posibles blancos hablan por sí mismos: universidades de Corea del Sur que realizan investigaciones sobre asuntos internacionales y elaboran políticas de defensa para el gobierno, una compañía nacional de fletes y grupos partidarios de la unificación coreana.

En segundo lugar, compilación de cadenas de ruta de acceso con palabras coreanas (por ejemplo, algunas podrían traducirse como los comandos «atacar» y «terminar»).

Tercero: bots envían informes de estado y transmiten información de sistemas infectados por medio de adjuntos a dos direcciones de correo electrónico (iop110112@hotmail.com y rsh1213@hotmail.com), que están registradas con los siguientes nombres «kim»: «kimsukyang» y «Kim asdfa».  Si bien los datos de registro no ofrecen información fehaciente sobre los atacantes, las direcciones IP de origen de estos se ajustan al perfil: hay 10 direcciones IP de origen, y todas ellas se encuentran en la red de la provincia de Jilin y en la red de la provincia de Liaoning, en China. Se cree que las ISP que proporcionan acceso a Internet en estas provincias también mantienen líneas en partes de Corea del Norte.

Otra característica «geopolítica» interesante del malware Kimsuky es que solo desactiva herramientas de seguridad de AhnLab, una compañía antimalware de Corea del Sur.

Los productos de Kaspersky Lab detectan y neutralizan estas amenazas como Trojan.Win32.Kimsuky, y los componentes del programa TeamViewer se detectan como Trojan.Win32.Patched.ps.

Para leer el artículo sobre la investigación de Kaspersky Lab y el informe completo sobre la campaña Kimsuky, visite Securelist. 

Acerca de Kaspersky Lab

Kaspersky Lab es el proveedor privado más grande del mundo de soluciones de protección para endpoints. La compañía está clasificada entre los cuatro principales proveedores de soluciones de seguridad para los usuarios de endpoints*. Durante sus ya más de 15 años de historia, Kaspersky Lab continúa siendo una compañía innovadora en la seguridad informática y ofrece soluciones efectivas en seguridad digital para las grandes compañías, pequeñas y medianas empresas y consumidores. Kaspersky Lab, a través de su compañía de holding registrada en el Reino Unido, opera actualmente en casi 200 países y territorios en todo el mundo, ofreciendo protección para más de 300 millones de usuarios a nivel global. Para obtener mayor información, visite http://latam.kaspersky.com.

*La compañía logró el cuarto lugar en la clasificación IDC de los Ingresos por Seguridad de Endpoints en el Mundo por Proveedor, 2011. La clasificación fue publicada en el reporte IDC del «Pronóstico Mundial de Endpoint Security 2012-2016 y Acciones de Proveedores 2011» – (IDC #235930, Julio de 2012). El reporte calificó a los proveedores de software según sus ganancias por las ventas de soluciones de Endpoint Security en 2011.

Relacionados

Dejar un comentario

Abrir chat
Escanea el código
Hola 👋
¿En qué podemos ayudarte?