卡巴斯基實驗室分析針對南韓組織的網路間諜活動

2013年9月17日 外電報導 – 全球領先的資訊安全解決方案供應商—卡巴斯基於2013年9月11日發表了一篇是關於南韓研究中心的網路間諜活動分析說明。

這個名為Kimsuky的網路間諜活動，主要是針對單一目標或機關進行客製化攻擊。根據技術分析，攻擊者主要是針對11個總部設在南韓的組織，及2個位於中國的組織，包含智庫世宗研究所，韓國國防分析研究院（KIDA） ，韓國統一部(大韓民國國家行政機關)，現代商船株式會社和韓國統一的支持團體。

此威脅行為的活動跡象，最早可追溯到2013年4月3日，而第一個Kimsuky木馬樣本則在2013年5月5日被發現。其運作方式是利用包含基本錯誤編碼和控制代碼的簡易型間諜程式，透過連線已受感染的保加利亞免費公共電子郵件伺服器(mail.bg)以進行惡意攻擊。

雖然最初的散播途徑手法至今不明，但卡巴斯基研究人員相信Kimsuky惡意程式是最有可能透過魚叉式網路釣魚郵件的手法，執行下列間諜行為：鍵盤側錄，機密資料收集，遠端存取控制和HWP檔案竊取（HWP是普遍使用於韓國Hancom Office裡的文字處理應用程式) 。攻擊者使用被改寫過的遠端控制應用程式TeamViewer，從被感染的機器上的截取任何檔案。

Kimsuky是專門竊取HWP檔案的惡意程式，這表示這些將是組織的首要目標之一。

卡巴斯基實驗室的專家根據下列線索推測這些攻擊應來自北韓。一言以蔽之，不難發現以其針對攻擊的目標範圍來看，對方其實已言明了來意及身分-推測方向是依照此本次網路攻擊主要是針對南韓大學國際事務單位進行研究，同時也針對國家安全政策單位、國家航運單位以及韓國統一的支持團體發動攻擊來判斷。

其次 – 編譯路徑字串包含了韓國的文字，例如其中一些文字是可以被翻譯成英文的“攻擊”和“完成”。

再者，同是〝Kim〞姓氏的〝kimsukyang〞和“Kim asdfa”分別登記註冊郵件帳號iop110112@hotmail.com 和 rsh1213@hotmail.com，再藉由僵屍電腦傳送附件含有病毒檔案及感染系統訊息的郵件；而從分析IP來源追查發現攻擊者的10個原始IP位址是掛載在中國吉林省和遼寧省的網路位址範圍內，再透過省分間的ISP供應商網路傳遞存取連結到北韓的網路。

另一個值得注意的地方是Kimsuky的“地緣政治”功能還使得南韓安博士防毒軟體公司的防護工具無法執行。

卡巴斯基安全防護產品會將偵測到的惡意程式立刻予以解毒消除威脅，其中消除的威脅包含Trojan.Win32.Kimsuky，以及竄改TeamViewer用戶端元件的Trojan.Win32.Patched.ps 。

如欲了解更多卡巴斯基實驗室關於Kimsuky的完整研究報告，請前往此連結Securelist。