Ataques dirigidos a Rusia de Cyber-Espionaje, por Corea …

espionage

Pregunte a un experto en espionaje cibernético y que con seguridad va a hablar de China, el país más activo y avanzado en este sector, esta vez una campaña clamorosa al parecer se originó en Corea ha sido descubierto.

La empresa de seguridad FireEye recogido evidencias de una campaña de espionaje cibernético, llamado ” Sanny “, atribuido a Corea. FireEye no ha revelado el origen real de la ofensiva, es un misterio que Corea es responsable entre Norte y Corea del Sur, pero confirmó que el 80% de las víctimas son organizaciones rusas y las empresas pertenecientes a la industria espacial investigación, la información, la educación y las telecomunicaciones.

 

Según Ali Islam, investigador de seguridad en FireEye declaró “Aunque no tenemos pruebas concretas completo, hemos identificado muchos indicadores que conducen a Corea como posible origen del ataque.”
Los siguientes son los indicadores que tenemos hasta el momento:
1. El servidor de correo SMTP y el CNC se encuentran en Corea
2. Las fuentes “Batang” y “KP CheongPong” utilizados en el documento son coreanos
3. El hecho de que el atacante eligió un tablón de mensajes de Corea como el CNC muestra que o bien él / ella es un hablante nativo o por lo menos muy a gusto con el idioma coreano
4. Algunas búsquedas en “jbaksanny” (el correo electrónico de Yahoo se utiliza) conduce a una página de Wikipedia coreano creado por el usuario llamado Jbaksan. La página es de auto-llenado y no tiene nada en el historial de ediciones excepto la creación de este usuario.
La única duda parece ser que los expertos han detectado un ataque patrocinado por el estado y que los atacantes han demostrado grandes capacidades cibernéticas.

 

Ali Islam agregó: “Una vez que tengamos esa información, usted tiene acceso a los correos electrónicos de los empleados, incluso de fuera, y eso significa una gran cantidad de información oficial,” El Islam dice. “También roba credenciales de otras cuentas, todas las contraseñas de usuario almacenadas por Firefox para auto login”.

 

El esquema de la infección es clásico, las víctimas recibió un mensaje de phishing que contiene un malware oculto en un documento, al parecer, proponiendo información relacionada con una reunión de la Asociación de Naciones del Sudeste Asiático, que aprovecha una vulnerabilidad de Microsoft Word para robar datos.

La figura a continuación presenta un documento escrito con juego de caracteres cirílico demostrar los verdaderos objetivos de los ataques.

Korean Cyber espionage attack Targets Russia
La característica más singular de los ataques cibernéticos es el uso de un foro público para recoger la información robada, los datos se envían a la tarjeta que no requiere de mecanismos de autenticación que hacen que las víctimas visible.
hacked
Hoy en día el servidor C & C está todavía activo y los atacantes están monitoreando para comprobar nuevas víctimas y los datos robados cada par de días borrar los datos una vez adquiridos.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: