Több hónapos nyomozás után a Kaspersky biztonsági kutatói fényt derítettek egy új számítógépes kémkedési kampányra (Kimsuky), ami dél-koreai szervezetek ellen irányul.

Az egyik hacker által elkövetett baklövés tette lehetővé a dél-koreai nyomozóknak, hogy a közelmúltban az ország több bankja és műsorszórója ellen elkövetett támadásokat egészen az északi ország fővárosáig, Phenjanig tudták visszakövetni. Bár a támadó személyazonossága továbbra is ismeretlen, február 20-án egy technikai hiba miatt pár percre láthatóvá vált az IP címe (175.45.178.xx), számolt be a Yonhap dél-koreai hírügynökség. A Szöulban székelő Korea Internet & Security Agency szerint az IP cím Ryugyong-dong-ban, egy phenjani lakónegyedben található, és egy Star Joint Venture (Star JV) nevű cégez van regisztrálva, amely Észak-Korea egyedüli nyilvános Internet szolgáltatója, valamint a ".kp" domain karbantartója.

A dél-koreai védelmi minisztérium korábbi bejelentése alapján 1000 főre bővítik az ország kiberparancsnokságának (Cyber Command) létszámát. Az ország hadserege 2010-ben hozta létre a szervezetet, hogy a különböző katonai és hírszerzési egységekkel együtt tudják kezelni a kiberbiztonsági eseményeket, de eddig még nem hoztak létre olyan egységes irányítási szervezetet, amely egybefogta volna a katonai hálózatot védő irányelveket és stratégiákat. A hírszerzés adatai szerint eközben Észak-Koreában 3000 magasan képzett hacker-t foglalkoztat a hadsereg, hogy azok betörjenek a déli ország hálózataiba, adatokat lopjanak, valamint káros szoftvereket terjesszenek.

A Symantec a támadásban felhasznált kódokat elemezve úgy véli, hogy a három dél-koreai bankot és két műsorszolgáltatót érő, nemrég lezajlott kibertámadást egy felbérelt szervezet emberei hajtották végre. Ezenkívül azt is valószínűsítik, hogy kapcsolatba tudják hozni a mostani támadást egy 2011-ben egyesült államokbeli és dél-koreai kormányzati intézmények ellen végrehajtott támadással. A két eset közti összefüggést a backdoor-ban, a kommunikációs csatornában fedezték fel, amely lehetővé teszi, hogy a command-and-control szerver fájlokat és utasításokat töltsön le az áldozat rendszerére.

Az elmúlt héten számos hír jelent meg arról, hogy dél-koreai bankokat és műsorszóró cégeket vett célba egy káros szoftver. Az NSHC Red Alert Team által készített jelentés rámutat arra, hogy ugyanahhoz a komponenshez számos hash létezik, amely arra utal, hogy több művelet is zajlott egy időben. Azt még senki nem tudja biztosan, hogyan sikerült a támadóknak megfertőzniük a célpontokat, azonban egy archive fájl több esetben is felbukkant. Az adott fájl neve koreai nyelven nagyjából "ügyfél számlatörténetet" jelent. Az archive állományon belül egy rendkívül hosszú nevű fájl volt, amelynek a szerepe, hogy elrejtse a kettős fájl kiterjesztést. Ez egy gyakori social engineering taktika, amely a tömeges levelező férgekkel terjedt el körülbelül 10 évvel ezelőtt. Ebből azt a következtetést lehet levonni, hogy a támadás spear phishing email-eken keresztül kezdődött.

A vállalatok és a kormányügynökségek sokat tanulhatnak a hét elején Dél-Koreát ért nagyszabású kibertámadásból, amely hatására több bank és médium számítógépe rendszere megbénult. Az biztonsági cégek előzetes elemzései azt mutatják, hogy a támadásokat már korábban is ismert sérülékenységek kihasználásával vitték véghez. Bár a legnagyobb figyelmet az kapja, hogy vajon Észak-Korea áll-e a támadások hátterében, a biztonsági szakértők szerint az eset legfontosabb tanulsága az, hogy a szervezeteknek kiemelten kell kezelnie a különböző ismert sérülékenységek javítását.

A BBC-nek a nyomozásban résztvevő forrás elmondta, egy számítógépes vírus okozta az médiaszolgáltatóknál és bankoknál tapasztalt számítógépes hálózatokat érintő bénulást Dél-Koreában. Az utóbbi időben több hasonló támadás is érte Dél-Koreát, a legutóbbi szerdán délután, amelynek során a 2 bank és 3 TV csatorna hálózata bénult meg egyik pillanatról a másikra.

Nemrégiben látott napvilágot az a hír, hogy a dél-koreai hatóságok fejlesztik azon képességeiket (magasan képzett hacker-eket és biztonsági szakértőket foglalkoztatnak, és kimondottan ezen a területen képzik tovább őket), amellyel az ország sikeresen megvédheti magát a folyamatosan erősödő kibertámadások hatásától. Az alig pár hete tartott elnökválasztás következtében az ország egy átmeneti időszakban van, és most a hatalomátadást levezető csoportot ért egy komoly támadás, amely elsősorban a sajtó által használt szervereket érintette, de a teljes kárt még nem mérték fel. A nyomozás feltárta, hogy a támadók által használt szerverek közül 17 darab külföldön, 2 pedig az országban található. Az egyik szerver bizonyítottan összeköttetésben áll az észak-koreai Posta és Telekommunikációs Minisztériummal.

Több tucat számítógépes hacker dolgozik elmélyülten egy munkaállomásokkal teli szobában, és olyan programkódot gépelnek, amelyet legtöbben meg sem értenénk. És hogy mi a feladatuk? Be kell törniük egy szimulált világ virtuális szervereibe. Mégsem arról van szó, hogy ezek a különleges képességű emberek megsértik a törvényeket, hanem pont ellenkezőleg, az a munkájuk, hogy megerősítsék azt. Mindannyian egy a dél-koreai kormány által szervezett, fél éves képzésben vesznek részt, amelynek befejeztével a legrátermettebb programozók a kiberbűnözés elleni harc élvonalában fogják magukat találni.

Szigorítja a kiberbiztonsági politikáját Dél-Korea, hogy megerősítse a védelmét az északról induló támadások ellen. Azonban számos szakértő véleménye szerint ez csak arra jó, hogy megtömjék a biztonsági cégek zsebét. A Korea Joongang Daily szerint a kormány számos különböző védekező és támadó fegyvert akar kifejleszteni, illetve megerősíteni a szakember gárdát a katonai kiberparancsnokság alatt, az Észak-Koreától való egyre növekvő félelem miatt.