Kaspersky Lab

 

Pressemitteilungen

11.09.2013

Kaspersky Lab enthüllt Cyberspionage-Kampagne gegen Südkorea

Etliche Spuren weisen auf Beteiligung Nordkoreas hin

Moskau/lngolstadt, 11. September 2013 - Die IT-Sicherheitsexperten von Kaspersky Lab haben Informationen über eine noch laufende Cyberspionage-Kampagne veröffentlicht, die sich hauptsächlich gegen südkoreanische Think-Tanks richtet. Die Kampagne unter dem Namen „Kimsuky“ richtet sich demnach eindeutig gegen bestimmte Organisationen und Behörden in Südkorea wie auch in China. Etliche Hinweise deuten auf eine Beteiligung Nordkoreas an dem Angriff hin.

Wie Kaspersky Lab berichtet, handelt es sich bei dem Trojaner namens Kimsuky um ein eher einfaches und fehlerbehaftetes Schadprogramm, das am 5. Mai 2013 erstmals aufgetaucht ist, auch wenn Hinweise auf den Beginn der Kampagne bis Anfang April zurückreichen. Betroffen von dem Trojaner sind südkoreanische Regierungseinrichtungen, Schifffahrtsunternehmen, und Forschungseinrichtungen auf den Gebieten Internationale Beziehungen oder Verteidigung, sowie Organisationen, die für eine Wiedervereinigung mit Nordkorea werben. Kimsuky nutzt für die Kommunikation mit den infizierten Rechnern den kostenlosen bulgarischen E-Mail-Dienst "mail.bg".

Wie die Verbreitung des Trojaners anfänglich erfolgen konnte, ist noch unklar. Kaspersky Lab geht aber davon aus, dass Spear-Phishing-Mails dabei eine Rolle spielten.

Die Schadsoftware kann verschiedene Spionagetätigkeiten ausüben. Sie protokolliert auf den von ihr befallenen Rechnern die Tastaturanschläge, sammelt Verzeichnislisten, erlaubt den Rechnerzugriff aus der Ferne und stiehlt gezielt Dokumente im Hangul Word Processor (HWP)-Format. Dabei handelt es sich um ein Textverarbeitungsprogramm, dass vor allem von südkoreanischen Behörden genutzt wird. Als Backdoor für den Zugriff auf die Dateien nutzen die Cyberkriminellen eine Modifikation der Remote-Access-Anwendung TeamViewer. Da Teile des Trojaners speziell auf die Entwendung von HWP-Dateien abzielen, gehen die Experten von Kaspersky Lab davon aus, dass dies der eigentliche Zweck der Angreifer ist.

Vieles deutet auf eine Beteiligung Nordkoreas hin

Für eine Beteiligung Nordkoreas an der Kampagne gibt es mehrere Hinweise. Zum einen sind es die oben genannten Ziele, gegen die sich Kimsuky richtet. Hinzu kommt die Verwendung koreanischer Worte, auf die Kaspersky Lab bei der Analyse des Schadprogramms gestoßen ist. So können zum Beispiel einige von ihnen als englische Befehle "attack" und "completion" übersetzt werden.

Zudem sendet der Trojaner Statusinformationen an zwei beim E-Mail-Dienst Hotmail registrierte Adressen: iop110112@hotmail.com und rsh1213@hotmail.com. Beide sind auf Personen mit dem Namen "Kim" zugelassen, deren IP-Adressen auf die chinesischen Provinzen Jilin und Liaoning verweisen. Die dortigen Internet-Provider bedienen wahrscheinlich auch Teile Nordkoreas.

Weiterhin ist aus geopolitischer Sicht bemerkenswert, dass der Trojaner nur die Sicherheitssoftware des südkoreanischen Anbieters AhnLab, nicht aber diejenige anderer Hersteller zu umgehen sucht.

Die Produkte von Kaspersky Lab schützen Anwender bereits vor der neu entdeckten Gefahr. Sie führen die Schadsoftware als Trojan.Win32.Kimsuky und die modifizierten TeamViewer-Clients unter Trojan.Win32.Patched.ps.

 

Nützliche Links:

Ihr Pressekontakt

Florian Schafroth

E-Mail senden

Tel. +49-(0)89-74 72 62-43
Fax +49-(0)89-74 72 62-17

Downloads

Kaspersky Lab on the Web

Virenanalysten-Blogs