Bisnis.com, JAKARTA - Tim riset Kaspersky Lab merilis laporan yang menemukan kegiatakan mata-mata cyber aktif menyasar think-thank Korea Selatan. Kegiatan mata-mata ini bernama Kimsuky.
Para pelaku menyerang 11 organisasi di Korea Selatan dan 2 entitas di China seperti Sejong Institute, Korea Institute for Defense Analyses (KIDA), Ministry of Unification (Kementerian Unifikasi) Korea Selatan, Hyundai Merchant Marine dan The Supporters of Korean Unification (Pendukung Satu Korea).
Para peneliti Kaspersky menduga malware Kimsuky dikirimkan melalui email spear-phishing yang mampu menjalankan fungsi mata-mata.
Pelaku menggunakan aplikasi jarak jauh TeamViewer yang sudah dimodifikasi menjadi backdoor untuk membajak file dari komputer yang terinfeksi. Kimsuky berisi program berbahaya khusus yang didesain untuk mencuri file HWP.
Berdasarkan beberapa petunjuk yang ditemukan, para ahli Kaspersky Lab menduga serangan berasal dari Korea Utara.
Pertama, profil target jelas menyasar universitas-universitas di Korea Selatan yang melakukan penelitian mengenai hubungan internasional dan menghasilkan kebijakan pertahanan bagi pemerintah, perusahaan pelayaran nasional, dan kelompok pendukung bersatunya Korea.
Kedua, kompilasi path string yang berisi kata-kata berbahasa Korea yang bila diterjemahkan menghasilkan kata “serangan” dan “selesai”.
Ketiga, dua alamat email yang menjadi tujuan pengiriman laporan bot terkait status dan informasi sistem yang telah terinfeksi melalui lampiran, [email protected] dan [email protected], terdaftar atas nama “kim”, yaitu “kimsukyang” dan “Km asdfa”.
Meski data registrasi ini tidak memberikan data solid terkait pelakuk, alamat IP para pelaku sesuai dengan profil, ada 10 tempat yang menghasilkan alamat IP, dan semuanya berada di sekitar Provinsi Jilin dan Liaoning di China.
ISP yang menyediakan akses Internet di provinsi ini dipercaya memiliki hubungan jaringan juga ke sebagian wilayah Korea Utara.