Skip to main content

Picky Spyware reiht empfindliche militärische Dokumente

Eine laute Malware-Kampagne gegen Südkorea offenbart tiefere Geheimnisse.

Ein neuer Bericht vom Sicherheitsanbieter McAfee in den 20. März "Dark Seoul" Angriffe, die Daten von Bankrechnern löschten, Geldautomaten und verkrüppelte Regierungswebseiten abriegelten, beschreiben eine viel weniger auffällige Paralleloperation zum Diebstahl geheimer Militärdaten.

McAfees Bericht behauptet, dass "die Angriffe auf südkoreanische Ziele tatsächlich das Ergebnis von eine geheime Spionagekampagne. "

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows PC]

Zwei Gruppen, das Whois Hacking Team und der NewRomanic Cyber ​​A Ich dachte, dass das Team hinter den Anschlägen vom 20. März steckt. McAfee vermutet nun, dass beide Teams aufgrund der Ähnlichkeiten im verwendeten Angriffscode zur selben Gruppe gehören.

Eine Analyse der von der Gruppe verwendeten Malware deutet darauf hin, dass McAfee seit 2009 eine Spionageoperation gegen südkoreanische Ziele durchführt Bericht. Die prominenten Angriffe auf Websites und Banken Anfang dieses Jahres könnten als Ablenkung gedacht gewesen sein.

McAfee nannte die militärische Komponente der Gruppenaktivität "Operation Troy" aufgrund der Verwendung des Wortes "Troja" in kompilierten Versionen von Malware.

Die Hacker versuchten, Computer zu kompromittieren, indem sie Opfer zu einer auf Militär fokussierten Social-Networking-Website lockten, wo ihre Computer angegriffen wurden, oder indem sie potenziellen Zielen Spear-Phishing-Mails schickten.

Wenn die Malware erfolgreich einen Computer infizierte scannt die Festplatte und sucht nach interessanten Dateien. Da großangelegter Datendiebstahl häufig Alarme auslösen kann, war diese Malware wählerischer.

"Die Malware extrahiert nicht jedes Dokument, das als übereinstimmend erkannt wird, durch Scannen von Laufwerken. Stattdessen weist es dem infizierten System eine eindeutige Signatur zu, entsprechend dem, was es enthält ", schrieb McAfee. "Bei weniger interessanten Systemen ist es weniger wahrscheinlich, dass Dokumente aus ihnen extrahiert werden."

Die Malware sucht nach Militäreinheitsnamen, Programmen und anderen militärischen Schlüsselwörtern. Es wurde nach diesen Schlüsselwörtern gesucht, die "operation", "secret" und "OPLAN" in Englisch und Koreanisch enthalten. Wenn eine interessante Datei heruntergeladen wird, sendet das Programm des Angreifers sie über einen verschlüsselten HTTP-Kanal.

Die in den militärischen Angriffen verwendete Malware könnte auch dazu verwendet werden, die Systeme zu zerstören, so der Bericht.

"Die Spionage-Malware hat Die Fähigkeit, Systeme auf dieselbe Weise zu zerstören, wie die Angriffe vom 20. März 2013 Tausende von Systemen in Südkorea deaktiviert haben ", schrieb McAfee. "Diese Fähigkeit könnte verheerend sein, wenn militärische Netzwerke plötzlich gelöscht würden, nachdem ein Gegner Informationen gesammelt hat."