Se connecter
Inscription
Mot de passe perdu
Publié le 11/09/2013 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Utrecht, le 11 Septembre 2013 - L’équipe de recherche sur la sécurité de Kaspersky Lab a publié aujourd’hui un rapport analysant une campagne de cyber-espionnage actif visant surtout des groupes de réflexion sud-coréens.
Baptisée Kimsuky, cette campagne est limitée et extrêmement ciblée. Selon l’analyse technique les pirates étaient intéressés par 11 organizations basées en Corée du Sud et deux entités en Chine. La liste des victimes inclut le Sejong Institute, le Korea Institute For Defense Analyses (KIDA), le Ministère de l’Unification de Corée du Sud, la Hyundai Merchant Marine et les Partisans de l’unification coréenne.
Les premiers signes d’activité de cette menace remontent au 3 avril 2013 et les premiers échantillons du cheval de Troie Kimsuky sont apparus le 5 mai 2013. Ce logiciel espion relativement simple comporte plusieurs erreurs de codes basiques et gère les communications de et vers des machines infectées par le biais d’un serveur web d’e-mail gratuit bulgare (mail.bg).
Bien que le mécanisme de propagation initiale reste inconnu, les chercheurs de Kaspersky pensent que le logiciel malveillant Kimsuky est probablement diffusé par le biais d’e-mails de phishing et est capable de réaliser les fonctions d’espionnage suivantes: enregistrement de frappes, collecte de listes de répertoires, accès par commande à distance et vol de documents HWP (liés à l’application de traitement de texte sud-coréenne du progiciel Hancom Office, largement utilisé par l’administration locale). Les pirates utilisent une version modifiée de l’application d’accès à distance TeamViewer et s’en servent comme d’un backdoor pour pirater les fichiers des machines infectées.
Le maliciel Kimsuky contient un programme malveillant dédié conçu pour dérober des fichiers HWP, laissant penser que ces documents sont l’un des principaux objectifs du groupe.
Des indices trouvés par les experts du Kaspersky Lab pourraient conduire à des pirates en Corée du Nord. Premièrement, les profils des cibles parlent d’eux-mêmes – des universités sud-coréennes menant des recherches sur des affaires internationales, élaborant des politiques de défense pour le gouvernement, une entreprise nationale de transport maritime et des groupes de soutien pour l’unification coréenne.
Deuxièmement, une séquence du chemin de compilation contenant des mots coréens (par exemple, certains d’entre eux pourraient se traduire par les commandes « attaquer » et « achever »)
Troisièmement, deux adresses e-mail auxquelles des bots ont envoyé des rapports de statut et transmis des informations système infectées par le biais de pièces jointes – iop110112@hotmail.com et rsh1213@hotmail.com – sont enregistrées avec les noms en « Kim » suivants: « kimsukyang » et « Kim asdfa ». Même si ces données d’enregistrement ne fournissent pas des informations précises sur les pirates, les adresses IP sources des pirates correspondent au profil: il y a 10 adresses IP d’origine, et toutes se situent dans les séries du Jilin Province Network et du Liaoning Province Network en Chine. On pense également que les ISP fournissant un accès Internet dans ces provinces couvrent certaines parties de la Corée du Nord.
Autre caractéristique « géopolitique » intéressante du logiciel malveillant Kimsuky: il désactive uniquement des outils de sécurité d’AhnLab, une société anti-malware sud-coréenne.
Les produits de Kaspersky Lab détectent et neutralisent ces menaces en tant que Trojan.Win32.Kimsuky, et des composants client TeamViewer modifiés sont détectés comme Trojan.Win32.Patched.ps.
Baptisée Kimsuky, cette campagne est limitée et extrêmement ciblée. Selon l’analyse technique les pirates étaient intéressés par 11 organizations basées en Corée du Sud et deux entités en Chine. La liste des victimes inclut le Sejong Institute, le Korea Institute For Defense Analyses (KIDA), le Ministère de l’Unification de Corée du Sud, la Hyundai Merchant Marine et les Partisans de l’unification coréenne.
Les premiers signes d’activité de cette menace remontent au 3 avril 2013 et les premiers échantillons du cheval de Troie Kimsuky sont apparus le 5 mai 2013. Ce logiciel espion relativement simple comporte plusieurs erreurs de codes basiques et gère les communications de et vers des machines infectées par le biais d’un serveur web d’e-mail gratuit bulgare (mail.bg).
Bien que le mécanisme de propagation initiale reste inconnu, les chercheurs de Kaspersky pensent que le logiciel malveillant Kimsuky est probablement diffusé par le biais d’e-mails de phishing et est capable de réaliser les fonctions d’espionnage suivantes: enregistrement de frappes, collecte de listes de répertoires, accès par commande à distance et vol de documents HWP (liés à l’application de traitement de texte sud-coréenne du progiciel Hancom Office, largement utilisé par l’administration locale). Les pirates utilisent une version modifiée de l’application d’accès à distance TeamViewer et s’en servent comme d’un backdoor pour pirater les fichiers des machines infectées.
Le maliciel Kimsuky contient un programme malveillant dédié conçu pour dérober des fichiers HWP, laissant penser que ces documents sont l’un des principaux objectifs du groupe.
Des indices trouvés par les experts du Kaspersky Lab pourraient conduire à des pirates en Corée du Nord. Premièrement, les profils des cibles parlent d’eux-mêmes – des universités sud-coréennes menant des recherches sur des affaires internationales, élaborant des politiques de défense pour le gouvernement, une entreprise nationale de transport maritime et des groupes de soutien pour l’unification coréenne.
Deuxièmement, une séquence du chemin de compilation contenant des mots coréens (par exemple, certains d’entre eux pourraient se traduire par les commandes « attaquer » et « achever »)
Troisièmement, deux adresses e-mail auxquelles des bots ont envoyé des rapports de statut et transmis des informations système infectées par le biais de pièces jointes – iop110112@hotmail.com et rsh1213@hotmail.com – sont enregistrées avec les noms en « Kim » suivants: « kimsukyang » et « Kim asdfa ». Même si ces données d’enregistrement ne fournissent pas des informations précises sur les pirates, les adresses IP sources des pirates correspondent au profil: il y a 10 adresses IP d’origine, et toutes se situent dans les séries du Jilin Province Network et du Liaoning Province Network en Chine. On pense également que les ISP fournissant un accès Internet dans ces provinces couvrent certaines parties de la Corée du Nord.
Autre caractéristique « géopolitique » intéressante du logiciel malveillant Kimsuky: il désactive uniquement des outils de sécurité d’AhnLab, une société anti-malware sud-coréenne.
Les produits de Kaspersky Lab détectent et neutralisent ces menaces en tant que Trojan.Win32.Kimsuky, et des composants client TeamViewer modifiés sont détectés comme Trojan.Win32.Patched.ps.
Plus d'articles dans cette catégorie
24/04/2024 @ 16:21:26
Poster un commentaire
Jeux Vidéos
Android
Droit
