RedDawnin kirjoittajat kohdistavat kohteen pohjoiskorealaisiin uhreihin Messengerin avulla
Pohjois-Korea tunnetaan totalitaarisesta hallintostaan ympäri maailmaa. Ei myöskään ole salaisuus, että asukkaat yrittävät paeta maasta vaarantaen henkensä. Paon jälkeen heidät voidaan kuitenkin edelleen havaita ja jäljittää, kuten McAfeen turvallisuusasiantuntijat havaitsivat[1] uusi sarja haittaohjelmahyökkäyksiä, jotka kohdistuvat pohjoiskorealaisiin loikkauksiin.
Tietoturvaasiantuntijat löysivät RedDawn-nimisen haittaohjelman kolmesta eri sovelluksesta Google Play Kaupasta. Jos se suoritetaan ja asennetaan Android-laitteeseen, se voi varastaa huomattavan määrän henkilökohtaisia tietoja tiedot, kuten yhteystietoluettelo, viestit, valokuvat, puhelinnumerot, sosiaalisen median tiedot ja samanlaisia tietoja. Myöhemmin sitä voidaan käyttää uhrien uhkaamiseen.
Nämä tartunnan saaneet sovellukset voidaan ladata ilmaiseksi niiden virallisista sivustoista ja muista resursseista. Sun Team -niminen hakkeriryhmä on kuitenkin turvautunut toiseen menetelmään – Facebookin Messengeriin. He käyttivät sitä kommunikoimaan uhrien kanssa ja kehottivat heitä lataamaan viruksen tietojenkalasteluviesteillä. Hakkereiden luomat väärennetyt tilit käyttävät varastettuja sosiaalisen verkoston kuvia eteläkorealaisista, ja varsin harvat ilmoittivat identiteettipetoksesta.
[2]Kuten on selvää, verkkohuijarit ovat levittäneet haittaohjelmia Messengerin avulla[3] jo jonkin aikaa, ja ei näytä siltä, että tämäntyyppiset hyökkäykset loppuvat lähiaikoina. Löydön jälkeen Google on poistanut kaikki haitalliset sovellukset.
Onneksi monet eivät ole ladaneet haitallisia sovelluksia
Nämä kolme McAfeen tietoturvatiimin haitallisiksi havaitsemaa sovellusta ovat:
- 음식궁합 (elintarvikkeiden ainesosat)
- Nopea AppLock
- AppLockFree
Kun ensimmäinen sovellus keskittyi ruoanvalmistukseen, kaksi muuta liittyivät verkkoturvallisuuteen (ironisesti). Sovelluksen sisällöstä riippumatta näyttää siltä, että Sun Team yritti houkutella useita ihmisiä.
Infektiot ovat monivaiheisia, koska kaksi ensimmäistä sovellusta saavat komennot yhdessä .dex-suoritettavan tiedoston kanssa etäpilvipalvelimelta. Uskotaan, että toisin kuin kaksi ensimmäistä sovellusta, AppLockFreeä käytetään infektion valvontavaiheeseen. Siitä huolimatta, kun hyötykuorma on suoritettu, haittaohjelmat voivat kerätä tarvittavat tiedot käyttäjistä ja lähettää ne Sun Teamille Dropbox- ja Yandex-pilvipohjaisten palveluiden avulla.
Tietoturvaasiantuntijat onnistuivat havaitsemaan haittaohjelmat varhaisessa vaiheessa, joten ne eivät levinneet laajalle. Siitä huolimatta havaitaan, että noin 100 tartuntaa tapahtui ennen kuin Google poisti haitalliset sovellukset kaupastaan.
Aiemmat Sun Team -hyökkäykset olivat kohdistuneet myös korealaisiin loikkauksiin
RedDawn ei ole ensimmäinen Sun Teamin suorittama haittaohjelmahyökkäys. Tietoturvatutkijat julkaisivat tammikuussa 2018 raportin toisesta haittaohjelmahyökkäyssarjasta, jotka kohdistuivat Kakao Talkia käyttäviin korealaisiin loikkauksiin ja toimittajiin.[4] ja muissa sosiaalisissa verkostoissa vuoden 2017 aikana. Kesti kaksi kuukautta, ennen kuin Google havaitsi ja poisti haitalliset sovellukset.
Tietoturvatutkijat saattoivat luotettavasti linkittää nämä hyökkäykset pohjoiskorealaisiin sen perusteella, että he löysivät haittaohjelmien ohjauspalvelimelta sanoja, jotka eivät ole kotoisin Etelä-Koreasta. Lisäksi IP-osoite viittasi myös Pohjois-Koreaan.
Tutkimusten mukaan noin 30 000 pohjoiskorealaista pakeni etelään ja yli 1000 yrittää paeta hallintoa vuosittain. Vaikka Kim Jong Un puhui äskettäin Yhdysvaltain ja Etelä-Korean johtajille 60 vuotta kestäneen sodan lopettamisesta,[5] Tällaiset hyökkäykset osoittavat, kuinka ahdistavia Pohjois-Korean johtajien näkemykset todella ovat.