Kaspersky Lab a publié le 11 septembre 2013, un rapport concernant une campagne active de cyber-espionnage ciblant avant tout des think-tanks sud-coréens (voir : securelist.com). D’après des analyses techniques, cette attaque, baptisée Kimsuky, s’intéresse très précisément à 11 organisations basées en Corée du sud et 2 situées en Chine, y compris l’Institut Sejong, l’Institut coréen d’analyse de la Défense (Korea Institute For Defense Analyses – KIDA), le ministère sud-coréen de l’Unification, Hyundai Merchant Marine et le groupe « The supporters of Korean Unification ». Kaspersky Lab dévoile une attaque ciblant des entités sud-coréennes (Trojan.Win32.Kimsuky)
Les premiers signes d’activité ont été détectés le 3 avril 2013, et les premiers chevaux de Troie Kimsuky le 5 mai 2013. Ce programme espion, peu sophistiqué, inclut plusieurs erreurs basiques de code. Les communications sont gérées depuis et par des machines infectées, via un serveur email web gratuit situé en Bulgarie (mail.bg).
Bien que le mécanisme de diffusion reste inconnu, il semble reposer sur des emails de phishing ciblés, selon les chercheurs de Kaspersky Lab. Les fonctionnalités du malware Kimsuky sont multiples : enregistrement de frappes, directory listing collection, prise de contrôle à distance et vol de documents HWP (en lien avec l’application de traitement de texte sud-coréenne du pack Hancom, largement utilisée par le gouvernement local). Les cybercriminels utilisent une version modifiée de l’application d’accès à distance TeamViewer comme « backdoor » pour voler les fichiers des machines infectées. Les indices collectés par les experts de Kaspersky Lab suggèrent que cette attaque serait d’origine nord coréenne. D’une part, le profil des cibles– des universités sud-coréennes investies dans les affaires internationales et produisant des politiques de défense pour le gouvernement, une entreprise nationale de transport, et des groupes en faveur de l’unification de la Corée – est révélateur. Ensuite, un fil de mots contenant des expressions coréennes (comme la commande « attaque ») a été découvert au sein de Kimsuky.
Enfin, les bots envoient leurs rapports à deux adresses enregistrées sous les noms “kimsukyang” et “Kim asdfa” (iop110112@hotmail.com et rsh1213@hotmail.com). Si les données d’inscription ne révèlent rien sur les attaquants, la source des adresses IP utilisées confirme cette hypothèse : les 10 adresses renvoient aux réseaux des régions de Jilin et Liaoning en Chine, où les fournisseurs d’accès à Internet seraient également responsables du maintien de lignes en Corée du Nord.
Une dimension géopolitique intéressante du malware Kimsuky : il ne désactive que les outils de sécurité de AhnLab, une société sud-coréenne anti-malware.
Les produits de Kaspersky Lab détectent et neutralisent ces menaces Trojan.Win32.Kimsuky, les composants modifiés de TeamViewer sont détectés comme Trojan.Win32.Patched.ps.
