У јужнокорејској остави има Севернокорејаца
Тим истраживача безбедности компаније Касперски Лаб објавио је свој најновији извештај о активној кампањи цибер шпијунаже, која је првенствено усмјерена на јужнокорејске истраживачке центре.
Кампања, коју су открили истраживачи Лабораторије Касперски, назива се Кимсуки, врло ограничена и високо циљана кампања за сајбер криминал, захваљујући чињеници да су нападачи приметили само 11 организација са седиштем у Јужној Кореји и два друга кинеска института, укључујући Корејски институт за одбрамбена истраживања. (КИДА), јужнокорејско Министарство за уједињење, компанија под називом Хиундаи Мерцхант Марине, и групе које подржавају уједињење Кореје.
Најранији знаци напада могу датирати 2013. априла 3. године, а први вирус Кимсуки тројански вирус појавио се 5. маја. Овај једноставни шпијунски софтвер садржи бројне основне грешке у кодирању и рукује комуникацијом са зараженим машинама путем бесплатног сервера е-поште заснованог на вебу (маил.бг) у Бугарској.
Иако почетни механизам примене и дистрибуције још није познат, истраживачи компаније Касперски Лаб верују да ће се вирус Кимсуки вероватно ширити путем пхисхинг имејлова, који имају следеће шпијунске карактеристике: кеилоггер, снимање листе директорија, даљински приступ и крађу ХВП датотека. Нападачи користе модификовану верзију ТеамВиевер-а, програма за даљински приступ, као позадинску заштиту за крађу датотека на зараженим машинама.
Стручњаци Лабораторије Касперски пронашли су назнаке да су нападачи вероватно Севернокорејци. Профили који циљају вирусе говоре сами за себе: прво, они су циљали јужнокорејске универзитете који спроводе истраживања у међународним односима, владиној одбрамбеној политици и испитују групе које подржавају спајање националне бродске компаније и Кореје.
Друго, програмски код садржи корејске речи које укључују „напад“ и „крај“.
Треће, две адресе е-поште на које ботови шаљу извештаје о статусу и информације о зараженим системима у прилозима поште - [емаил заштићен] ес [емаил заштићен] - регистровани под именима која почињу са „ким“: „кимсукианг“ и „Ким асдфа“.
Иако регистровани подаци не садрже чињеничне информације о нападачима, извор њихове ИП адресе одговара профилу: свих 10 ИП адреса припада мрежи провинција Јилин и Лиаонинг у Кини. Познато је да су ове ИСП мреже доступне у неким областима Северне Кореје.
