Кампанию по кибершпионажу, нацеленная на южно-корейские государственные структуры и научно-исследовательские институты, обнаружила «Лаборатория Касперского» - российский производитель защитного ПО.

Шпионская операция получила название Kimsuky. Целью являлись 11 организаций в Южной Корее и 2 в Китае. Атаке подверглись Сечжонский Институт, Корейский Институт Защитного Анализа (KIDA), Министерство Объединения, логистическая компания Hyundai Merchant Marine и сторонники объединения республики Кореи.

Активность была замечена 3 апреля этого года, а образцы троянца Kimsuky оказались в доступе 5 мая. Это довольно несложная шпионская программа имеет ошибки в коде и пользуется болгарским бесплатным почтовым сервером mail.bg.

Точный способ заражения не установлен. В «Лаборатории Касперского» считают, Kimsuky распространялся с помощью рассылки фишинговых писем. Вирус умеет считывать данные с клавиатуры, красть списки файлов во всех каталогах, удаленно управлять компьютером, воровать документы формата HWP, который используется в южнокорейских госучреждениях в составе пакета Hancom Office. Именно кража этих файлов, скорее всего, является основной задачей троянца.

Несколько «следов» этого вируса ведут в Северную Корею. Это значит, что вирус имеет политические цели, связанные с противостоянием между Севером и Югом Кореи.

Интересен еще один факт: Kimsuky обходит только антивирусы южнокорейской антивирусной компании AhnLab. А продукты «Лаборатории Касперского» детектируют и нейтрализуют эти угрозы, классифицируя их как Trojan.Win32.Kimsuky, а модифицированные компоненты TeamViewer как Trojan.Win32.Patched.ps.

Источник информации - www.kaspersky.ru