RedDawn autori ir vērsti uz Ziemeļkorejas upuriem, izmantojot Messenger
Ziemeļkoreja ir pazīstama ar savu totalitāro režīmu visā pasaulē. Nav arī noslēpums, ka iedzīvotāji mēģina bēgt no valsts, riskējot ar savu dzīvību. Tomēr pēc bēgšanas viņus joprojām var atklāt un izsekot, kā atklāja McAfee drošības eksperti[1] jauna ļaunprātīgas programmatūras uzbrukumu virkne, kas vērsta uz pārbēdzējiem no Ziemeļkorejas.
Ļaunprātīgo programmatūru, kas nodēvēta par RedDawn, drošības speciālisti atrada trīs dažādās Google Play veikala lietotnēs. Ja tas tiek izpildīts un instalēts Android ierīcē, tas var nozagt ievērojamu daudzumu personisko datu informāciju, piemēram, kontaktu sarakstu, ziņas, fotoattēlus, tālruņu numurus, sociālo mediju informāciju un līdzīgi dati. Vēlāk to var izmantot, lai apdraudētu upurus.
Šīs inficētās lietotnes var brīvi lejupielādēt no to oficiālajām vietnēm un citiem resursiem. Tomēr hakeru grupa ar nosaukumu Sun Team ir paļāvusies uz citu metodi - Facebook Messenger. Viņi to izmantoja, lai sazinātos ar upuriem un mudinātu viņus lejupielādēt vīrusu, izmantojot pikšķerēšanas ziņojumus. Hakeru izveidotajos viltotajos kontos tiek izmantotas zagtas dienvidkorejiešu sociālo tīklu fotogrāfijas, un diezgan daudzas personas ziņoja par identitātes krāpšanu.
Kā redzams, kiberkrāpnieki ir izplatījuši ļaunprātīgu programmatūru, izmantojot Messenger[3] jau kādu laiku, un nešķiet, ka šāda veida uzbrukumi drīz beigsies. Kopš atklāšanas Google ir noņēmis visas ļaunprātīgās lietotnes.
Ļaunprātīgas lietotnes, par laimi, nav lejupielādējuši daudzi
Šīs trīs lietotnes, kuras McAfee drošības komanda atklāja kā ļaunprātīgas, ir:
- 음식궁합 (Informācija par pārtikas sastāvdaļām)
- Ātra AppLock
- AppLockFree
Kamēr pirmā lietotne koncentrējās uz ēdiena gatavošanu, pārējās divas bija saistītas ar tiešsaistes drošību (ironiski). Neatkarīgi no lietotnes satura šķiet, ka Sun Team mēģināja piesaistīt vairākus cilvēkus.
Infekcijas notiek vairākos posmos, jo pirmās divas lietotnes saņem komandas kopā ar .dex izpildāmo failu no attālā mākoņservera. Tiek uzskatīts, ka atšķirībā no pirmajām divām lietotnēm AppLockFree tiek izmantota infekcijas uzraudzības stadijā. Tomēr, tiklīdz slodze ir izpildīta, ļaunprātīga programmatūra var iegūt nepieciešamo informāciju par lietotājiem un nosūtīt to Sun Team, izmantojot Dropbox un Yandex mākoņpakalpojumus.
Drošības ekspertiem izdevās noķert ļaunprātīgu programmatūru agrīnā stadijā, kas nozīmē, ka tā nav plaši izplatīta. Neskatoties uz to, tiek uzskatīts, ka notika aptuveni 100 inficēšanās gadījumu, pirms Google izņēma no sava veikala ļaunprātīgās lietotnes.
Iepriekšējie Sun Team uzbrukumi bija vērsti arī pret korejiešu pārbēdzējiem
RedDawn nav pirmais ļaunprogrammatūras uzbrukums, ko veic Sun Team. Drošības pētnieki 2018. gada janvārī publicēja ziņojumu par citu ļaunprātīgas programmatūras uzbrukumu virkni, kuru mērķis bija Korejas pārbēdzēji un žurnālisti, izmantojot Kakao Talk.[4] un citos sociālajos tīklos 2017. gada laikā. Pagāja divi mēneši, līdz Google pamanīja un noņēma ļaunprātīgas lietotnes.
Drošības pētnieki varētu droši saistīt šos uzbrukumus ar ziemeļkorejiešiem, pamatojoties uz faktu, ka viņi ļaunprogrammatūras vadības serverī atrada dažus vārdus, kuru dzimtene nav Dienvidkoreja. Turklāt IP adrese arī norādīja uz Ziemeļkoreju.
Saskaņā ar pētījumiem aptuveni 30 000 ziemeļkorejiešu aizbēga uz dienvidiem un vairāk nekā 1000 mēģina izbēgt no režīma katru gadu. Lai gan Kims Čenuns nesen runāja ar Amerikas un Dienvidkorejas līderiem par 60 gadus ilgušā kara izbeigšanu,[5] šādi uzbrukumi pierāda, cik nomācoši patiesībā ir Ziemeļkorejas līderu uzskati.