Se você perguntar a um especialista sobre espionagem do ciberespaço, ele definitivamente Ele diz que a China é o país mais ativo e avançado no campo.
A empresa de segurança FireEye coletou evidências de uma campanha de espionagem cibernética chamada “Sanny”. <…>
que vem da Coréia. O FireEye não divulgou a origem real do ataque, seja a Coréia do Norte ou do Sul, mas confirmou que 80% das vítimas eram organizações e empresas russas pertencentes a pesquisas espaciais, informações, treinamento e telecomunicações.
Ali Islam, pesquisador de segurança da FireEye, disse: “Embora não tenhamos informações completas, identificamos muitas indicações que levam à Coréia como uma possível fonte de ataque”.
As indicações até agora:
1) Servidor de correio SMTP e CnC estão localizados na Coréia
2) As fontes “Batang” e “KP CheongPong” usadas no documento estão em coreano.
3) O fato de o atacante escolher uma mensagem coreana no CnC mostra que, se essa é sua língua materna ou pelo menos ele é um bom conhecedor da língua coreana.
4) Algumas pesquisas pela palavra “jbaksanny” (e-mail do Yahoo usado) levam a uma página da Wikipedia em coreano criada por um usuário chamado Jbaksan. A página é preenchida automaticamente e não tem nada a ver com o histórico de edição, exceto a criação desse usuário.
A imagem abaixo mostra um documento escrito em caracteres cirílicos que comprova os verdadeiros alvos dos ataques.
A característica dos ataques é o uso de um fórum público para coletar informações roubadas, onde os dados são enviados para processamento e não exigem um mecanismo de nome de usuário e senha, tornando as vítimas visíveis para todos.
Hoje, o servidor C&C ainda está ativo e os atacantes estão monitorando-o para novas vítimas e dados roubados. A cada dois dias, eles excluem os dados assim que os copiam para fora do servidor.
As investigações ainda estão em andamento.
