Detectan campaña de ciberespionaje cuyo blanco es Corea del Sur

Martes, 17 Septiembre 2013 00:15
tamaño de la fuente disminuir el tamaño de la fuente aumentar tamaño de la fuente

Publicado en Seguridad |

Valora este artículo

(0 votos)

Ciudad de México. La empresa de seguridad informática Kaspersky detectó una campaña activa de espionaje informático "muy limitada y específica", cuyo objetivo se centra en 11 organizaciones de Corea del Sur.

La campaña, denominada Kimsuky, tiene como blancos al instituto educativo Sejong, el Instituto de Corea para Análisis de Defensa (KIDA) y el Ministerio de Unificación de Corea del Sur, entre otros, así como a dos organismos chinos.

En su informe de seguridad, la firma menciona que los primeros signos de actividad de la amenaza se remontan al 3 de abril de este año, mientras que los primeros virus troyanos Kimsuky comenzaron a aparecer el pasado 5 de mayo.

Refiere que el código es "poco sofisticado", incluye errores de codificación básica y maneja las comunicaciones desde y hacia máquinas infectadas a través de un servidor de correo electrónico gratuito alojado en un sitio web de Bulgaria, llamado mail.bg.

A pesar de que la compañía desconoce cómo se inició la infección, señala que probablemente pudo comenzar con correos phishing, y tiene la capacidad de detectar el registro de las teclas que un usuario hace en su computadora y recopilar directorios.

De igual forma, el código malicioso permite a los ciberdelincuentes tener acceso por control remoto a los equipos infectados y robar documentos con extensión HWP, el procesador de texto de Microsoft para ese país.

De acuerdo con Kaspersky las pistas halladas "apuntan a atacantes de Corea del Norte. Los perfiles de los blancos hablan por sí mismos: universidades de corea del sur que realizan investigaciones sobre asuntos internacionales y elaboran políticas de defensa para el gobierno".

Además, señala que la compilación de cadenas de ruta de acceso contiene palabras coreanas, en tanto que los bots envían informes de estado a dos direcciones de correo electrónico de Hotmail registradas con los nombres Kimsukyang y Kim asdfa.

Kaspersky destaca que las direcciones IP de origen de los correos se encuentran en la red de la provincia de Jilin, así como en la de Liaoning, en China, las cuales estima que mantienen líneas en parte de Corea del Norte para proporcionar acceso a Internet.

Finalmente, la firma de seguridad señala que otra característica importante de Kimsuky es que sólo desactiva las herramientas de seguridad de AhnLab, una compañía antivirus basada en Corea del Sur. Notimex

Visto 733 veces Modificado por última vez en Martes, 17 Septiembre 2013 01:21

Inicia sesión para enviar comentarios