“Hé lộ” chiến dịch gián điệp mạng nhắm vào một số đối tượng Hàn Quốc

16/09/2013 15:35

(e-CHÍP Online) - Ngày 11/9/2013, nhóm nghiên cứu bảo mật Kaspersky Lab công bố bảng báo cáo phân tích một chiến dịch gián điệp mạng nhắm mục tiêu vào một số đối tượng Hàn Quốc.


Chiến dịch có tên gọi Kimsuky và theo phân tích kỹ thuật, những kẻ tấn công hướng đến 11 tổ chức có trụ sở tại Hàn Quốc và hai tổ chức ở Trung Quốc trong đó có Viện Sejong, Viện Phân tích Quốc phòng Hàn Quốc (Kida), Bộ Thống nhất Hàn Quốc, Hyundai Merchant Marine và Những người ủng hộ Thống nhất Hàn Quốc.

Mối đe dọa này đã có dấu hiệu hoạt động vào ngày 03/04/2013. Các mẫu Trojan Kimsuky đầu tiên xuất hiện vào 05/05/2013. Chương trình gián điệp không tinh vi này bao gồm một số lỗi mã hóa cơ bản và xử lý thông tin liên lạc đến và đi từ máy tính bị nhiễm thông qua một trang web Bulgary đặt tại máy chủ email miễn phí (Bulgary web based on free-email server).

Mặc dù cơ chế chuyển giao ban đầu vẫn chưa được biết, các nhà nghiên cứu Kaspersky tin rằng phần mềm độc hại Kimsuky rất có thể được gửi qua các email spear-phishing (hình thức lừa đảo mà các nạn nhân đã được chọn lựa từ trước) và có khả năng thực hiện những chức năng gián điệp sau đây: theo dõi thao tác bàn phím (keystroke logging), sưu tập danh sách các file và thư mục tồn tại trên máy chủ (directory listing), kiểm soát truy cập từ xa và đánh cắp tài liệu HWP (liên quan đến các ứng dụng xử lý văn bản Hàn Quốc từ bộ phần mềm Hancom Office, sử dụng rộng rãi bởi các chính quyền địa phương). Những kẻ tấn công đang sử dụng một phiên bản sửa đổi của ứng dụng truy cập từ xa TeamViewer để phục vụ như một backdoor nhằm chiếm quyền điều khiển bất kỳ tập tin nào từ máy tính bị nhiễm.

Phần mềm độc hại Kimsuky chứa một chương trình độc hại được thiết kế chuyên dụng để đánh cắp các tập tin HWP, điều này cho thấy rằng các tài liệu này là một trong những mục tiêu chính của nhóm.

Đầu mối được tìm thấy bởi các chuyên gia của Kaspersky Lab cho thấy có thể phỏng đoán về nguồn gốc những kẻ tấn công xuất phát từ Bắc Triều Tiên. Trước hết, hồ sơ của các mục tiêu đã nói lên chính điều này - các trường đại học Hàn Quốc tiến hành nghiên cứu về các vấn đề quốc tế và xây dựng các chính sách quốc phòng cho chính phủ, một công ty vận chuyển quốc gia, và các nhóm hỗ trợ cho sự thống nhất của Hàn Quốc.

Thứ hai - một chuỗi đường dẫn biên soạn có chứa từ Hàn Quốc (ví dụ, một số từ trong đó có thể được dịch sang lệnh Tiếng Anh là "tấn công" và "hoàn thành") .

Thứ ba - hai địa chỉ email mà chương trình này gửi báo cáo tình hình và truyền tải thông tin của hệ thống bị nhiễm thông qua các file đính kèm - iop110112@hotmail.com và rsh1213@hotmail.com - được đăng ký với tên "kim" sau đây: "kimsukyang" và "Kim asdfa". Mặc dù dữ liệu đăng ký này không cung cấp dữ liệu chi tiết về những kẻ tấn công, các nguồn địa chỉ IP của những kẻ tấn công phù hợp với hồ sơ cá nhân: có 10 có nguồn gốc địa chỉ IP, và tất cả đều nằm trong phạm vi của mạng tỉnh Cát Lâm và Liêu Ninh ở Trung Quốc. Các ISP cung cấp truy cập Internet tại các tỉnh này cũng được cho là duy trì đường dẫn vào các phần của Triều Tiên.

Một tính năng "thú vị" của phần mềm độc hại Kimsuky là nó chỉ vô hiệu hóa công cụ bảo mật từ AhnLab, một công ty chống phần mềm độc hại của Hàn Quốc.

Các sản phẩm của Kaspersky Lab phát hiện và vô hiệu hóa các mối đe dọa như Trojan.Win32.Kimsuky, đồng thời theo dõi các thành phần khách hàng (client component) TeamViewer đã được phát hiện như là Trojan.Win32.Patched.ps.

Bạn có thể đọc bài nghiên cứu của Kaspersky Lab và báo cáo đầy đủ về các chiến dịch Kimsuky tại securelist.com.

HỒNG HẠNH
Bài liên quan:
Ý kiến bạn đọc (0)
Tên   Email

Lên đầu trang