Phát hiện một chiến dịch gián điệp mạng nhắm mục tiêu vào Hàn Quốc

Ngày 11/9/2013, nhóm nghiên cứu bảo mật Kaspersky Lab đã công bố bảng báo cáo phân tích một chiến dịch gián điệp mạng nhắm mục tiêu vào một số đối tượng Hàn Quốc.

Ảnh minh họa.Ảnh minh họa.

Theo công bố này, chiến dịch có tên gọi Kimsuky đã tấn công hướng đến 11 tổ chức có trụ sở tại Hàn Quốc và hai tổ chức ở Trung Quốc, trong đó có Viện Sejong, Viện Phân tích Quốc phòng Hàn Quốc (Kida), Bộ Thống nhất Hàn Quốc, Hyundai Merchant Marine và Những người ủng hộ Thống nhất Hàn Quốc.

Mặc dù cơ chế chuyển giao ban đầu vẫn chưa được biết, các nhà nghiên cứu Kaspersky tin rằng phần mềm độc hại Kimsuky rất có thể được gửi qua các email spear-phishing (hình thức lừa đảo mà các nạn nhân đã được chọn lựa từ trước) và có khả năng thực hiện những chức năng gián điệp sau đây: theo dõi thao tác bàn phím (keystroke logging), sưu tập danh sách các file và thư mục tồn tại trên máy chủ (directory listing), kiểm soát truy cập từ xa và đánh cắp tài liệu HWP (liên quan đến các ứng dụng xử lý văn bản Hàn Quốc từ bộ phần mềm Hancom Office, sử dụng rộng rãi bởi các chính quyền địa phương).

Theo các nhà nghiên cứu Kaspersky, mối đe dọa này đã có dấu hiệu hoạt động vào ngày 03/04/2013. Các mẫu Trojan Kimsuky đầu tiên xuất hiện vào ngày 05/05/2013. Chương trình gián điệp không tinh vi này bao gồm một số lỗi mã hóa cơ bản và xử lý thông tin liên lạc đến và đi từ máy tính bị nhiễm thông qua một trang web Bulgary đặt tại máy chủ email miễn phí (Bulgary web based on free-email server) (mail.bg).

Bên cạnh đó, những kẻ tấn công đang sử dụng một phiên bản sửa đổi của ứng dụng truy cập từ xa TeamViewer để phục vụ như một backdoor nhằm chiếm quyền điều khiển bất kỳ tập tin nào từ máy tính bị nhiễm .

Theo các nhà nghiên cứu Kaspersky, phần mềm độc hại Kimsuky chứa một chương trình độc hại được thiết kế chuyên dụng để đánh cắp các tập tin HWP, điều này cho thấy rằng các tài liệu này là một trong những mục tiêu chính của nhóm.

Một tính năng "địa chính trị" thú vị của phần mềm độc hại Kimsuky là nó chỉ vô hiệu hóa công cụ bảo mật từ AhnLab, một công ty chống phần mềm độc hại của Hàn Quốc”, các nhà nghiên cứu Kaspersky cho biết thêm.

Đầu mối được tìm thấy cũng cho thấy, nguồn gốc những kẻ tấn công có thể xuất phát từ Bắc Triều Tiên. Bởi, thứ nhất, hồ sơ của các mục tiêu đã nói lên chính điều này khi mà các trường đại học Hàn Quốc tiến hành nghiên cứu về các vấn đề quốc tế và xây dựng các chính sách quốc phòng cho chính phủ, một công ty vận chuyển quốc gia, và các nhóm hỗ trợ cho sự thống nhất của Hàn Quốc là những mục tiêu chính của cuộc tấn công.

Thứ hai, một chuỗi đường dẫn biên soạn có chứa từ Hàn Quốc (ví dụ, một số từ trong đó có thể được dịch sang lệnh tiếng Anh là " tấn công" và "hoàn thành").

Thứ ba, hai địa chỉ email mà chương trình này gửi báo cáo tình hình và truyền tải thông tin của hệ thống bị nhiễm thông qua các file đính kèm - iop110112@hotmail.com và rsh1213@hotmail.com được đăng ký với tên "kimsukyang" và "Kim asdfa". Mặc dù dữ liệu đăng ký này không cung cấp dữ liệu chi tiết về những kẻ tấn công, song các nguồn địa chỉ IP của những kẻ tấn công phù hợp với hồ sơ cá nhân khi tất cả đều nằm trong phạm vi của mạng tỉnh Cát Lâm và Liêu Ninh ở Trung Quốc. Các ISP cung cấp truy cập Internet tại các tỉnh này cũng được cho là duy trì đường dẫn vào các phần của Triều Tiên…

(KD)