Nghi vấn Bắc Hàn đứng sau chiến dịch gián điệp mạng “Kimsuky”

Mối đe dọa này đã có dấu hiệu hoạt động vào ngày 03/04/2013.Cácmẫu Trojan Kimsuky đầu tiên xuất hiện vào 05/05/2013. Chương trình gián điệp này bao gồm một số lỗi mã hóa cơ bản và xử lý thông tin liên lạc đến và đi từ máy tính bị nhiễm thông qua một trang web Bulgary đặt tại máy chủ email miễn phí (Bulgary web based on free-email server) (mail.bg).

Mặc dù cơ chế chuyển giao ban đầu vẫn chưa được biết, các nhà nghiên cứu Kaspersky tin rằng phần mềm độc hại Kimsuky rất có thể được gửi qua các email spear-phishing (hình thức lừa đảo mà các nạn nhân đã được chọn lựa từ trước) và có khả năng thực hiện những chức năng gián điệp sau đây : theo dõi thao tác bàn phím (keystroke logging); sưu tập danh sách các file và thư mục tồn tại trên máy chủ (directory listing); kiểm soát truy cập từ xa và đánh cắp tài liệu HWP (liên quan đến các ứng dụng xử lý văn bản Hàn Quốc từ bộ phần mềm Hancom Office, sử dụng rộng rãi bởi các chính quyền địa phương). Những kẻ tấn công đang sử dụng một phiên bản sửa đổi của ứng dụng truy cập từ xa TeamViewer để phục vụ như một backdoor nhằm chiếm quyền điều khiển bất kỳ tập tin nào từ máy tính bị nhiễm .

Phần mềm độc hại Kimsuky chứa một chương trình độc hại được thiết kế chuyên dụng để đánh cắp các tập tin HWP. Điều này cho thấy, các tài liệu này là một trong những mục tiêu chính của nhóm.

Đầu mối được tìm thấy bởi các chuyên gia của Kaspersky Lab cho thấy có thể phỏng đoán về nguồn gốc những kẻ tấn công xuất phát từ Bắc Triều Tiên:

Trước hết, hồ sơ của các mục tiêu đã nói lên chính điều này: Các trường đại học Hàn Quốc tiến hành nghiên cứu về các vấn đề quốc tế và xây dựng các chính sách quốc phòng cho chính phủ; một công ty vận chuyển quốc gia; các nhóm hỗ trợ cho sự thống nhất của Hàn Quốc.

Mặt khác, một chuỗi đường dẫn biên soạn có chứa từ Hàn Quốc (một số từ trong đó có thể được dịch sang lệnh Tiếng Anh là " tấn công" và "hoàn thành") .

Đồng thời, hai địa chỉ email mà chương trình này gửi báo cáo tình hình và truyền tải thông tin của hệ thống bị nhiễm thông qua các file đính kèm - iop110112@hotmail.com và rsh1213@hotmail.com, được đăng ký với tên "kim" sau đây : "kimsukyang" và "Kim asdfa". Mặc dù dữ liệu đăng ký này không cung cấp dữ liệu chi tiết về những kẻ tấn công, các nguồn địa chỉ IP của những kẻ tấn công phù hợp với hồ sơ cá nhân : có 10 có nguồn gốc địa chỉ IP , và tất cả đều nằm trong phạm vi của mạng tỉnh Cát Lâm và Liêu Ninh ở Trung Quốc. Các ISP cung cấp truy cập Internet tại các tỉnh này cũng được cho là duy trì đường dẫn vào các phần của Triều Tiên.

Một tính năng "địa chính trị" thú vị của phần mềm độc hại Kimsuky là nó chỉ vô hiệu hóa công cụ bảo mật từ AhnLab, một công ty chống phần mềm độc hại của Hàn Quốc.

Những chi tiết và dấu vết điện tử thu được đã hướng nghi vấn Bắc Hàn chủ mưu đứng sau chiến dịch gián điệp mạng này .