A RedDawn szerzői észak-koreai áldozatokat céloznak meg a Messenger segítségével
Észak-Korea az egész világon ismert totalitárius rendszeréről. Az sem titok, hogy a lakosok életüket kockáztatva próbálnak elmenekülni az országból. A szökés után azonban még mindig észlelhetők és nyomon követhetők, ahogy a McAfee biztonsági szakértői felfedezték[1] rosszindulatú támadások új sorozata, amelyek az észak-koreai disszidenseket célozzák.
A RedDawn névre keresztelt kártevőt biztonsági szakemberek találták meg a Google Play Áruház három különböző alkalmazásában. Ha végrehajtja és telepíti Android-eszközre, jelentős mennyiségű személyes adatot lophat el információk, például névjegyzék, üzenetek, fényképek, telefonszámok, közösségi média információk és hasonló adatok. Később az áldozatok megfenyegetésére is használható.
Ezek a fertőzött alkalmazások szabadon letölthetők hivatalos webhelyeikről és egyéb forrásaikról. A Sun Team nevű hackercsoport azonban egy másik módszerre támaszkodott, a Facebook Messengerére. Arra használták, hogy kommunikáljanak az áldozatokkal, és adathalász üzenetekkel sürgessék őket, hogy töltsék le a vírust. A hackerek által létrehozott hamis fiókok dél-koreaiak ellopott közösségi oldalairól készült fotókat használnak, és jó néhány személy személyazonosság-csalásról számolt be.
Nyilvánvaló, hogy a kiberbűnözők rosszindulatú programokat terjesztenek a Messenger segítségével[3] egy ideje, és nem úgy tűnik, hogy az ilyen típusú támadások egyhamar leállnak. A felfedezés óta a Google minden rosszindulatú alkalmazást eltávolított.
A rosszindulatú alkalmazásokat szerencsére nem sokan töltötték le
A McAfee biztonsági csapata a következő három alkalmazást rosszindulatúnak találta:
- 음식궁합 (Információ az élelmiszer-összetevőkről)
- Gyors AppLock
- AppLockFree
Míg az első alkalmazás az ételkészítésre összpontosított, a másik kettő az online biztonsághoz kapcsolódott (ironikus módon). Az alkalmazás tartalmától függetlenül úgy tűnik, hogy a Sun Team megpróbált több embert megszólítani.
A fertőzések többlépcsősek, mivel az első két alkalmazás parancsokat kap, valamint egy távoli felhőkiszolgálóról származó .dex végrehajtható fájlt. Úgy gondolják, hogy az első két alkalmazással ellentétben az AppLockFree-t a fertőzés megfigyelésére használják. Mindazonáltal, miután a hasznos adatot végrehajtották, a rosszindulatú programok összegyűjthetik a szükséges információkat a felhasználókról, és elküldhetik azokat a Sun Teamnek a Dropbox és a Yandex felhőalapú szolgáltatások segítségével.
A biztonsági szakértőknek korai szakaszban sikerült elkapniuk a rosszindulatú programokat, vagyis nem terjedtek el széles körben. Ennek ellenére úgy vélik, hogy körülbelül 100 fertőzés történt, mielőtt a Google eltávolította a rosszindulatú alkalmazásokat az üzletéből.
A Sun Team korábbi támadásai a koreai disszidenseket is célba vették
A RedDawn nem az első rosszindulatú támadás, amelyet a Sun Team hajtott végre. Biztonsági kutatók 2018 januárjában tettek közzé egy jelentést egy újabb rosszindulatú támadásról, amelyek a Kakao Talk segítségével koreai disszidenseket és újságírókat céloztak meg.[4] és más közösségi hálózatokon 2017 folyamán. Két hónapba telt, mire a Google észrevette és eltávolította a rosszindulatú alkalmazásokat.
A biztonsági kutatók magabiztosan hozhatták összefüggésbe ezeket a támadásokat az észak-koreaiakkal, mivel a rosszindulatú programok vezérlőszerverén olyan szavakat találtak, amelyek nem Dél-Koreában őshonosak. Emellett az IP-cím is Észak-Koreára mutatott.
A kutatások szerint körülbelül 30 000 észak-koreai ember menekült délre, és évente több mint 1000-en próbálnak megszökni a rezsim elől. Bár Kim Dzsong Un nemrég egy 60 éves háború befejezéséről beszélt amerikai és dél-koreai vezetőkkel,[5] az ehhez hasonló támadások bizonyítják, hogy valójában mennyire nyomasztóak az észak-koreai vezetők nézetei.