Avtorji RedDawn ciljajo na severnokorejske žrtve z uporabo Messengerja
Severna Koreja je znana po svojem totalitarnem režimu po vsem svetu. Prav tako ni skrivnost, da prebivalci skušajo pobegniti iz države in tvegajo svoja življenja. Po pobegu pa bi jih lahko še vedno odkrili in sledili, kot so odkrili varnostni strokovnjaki iz McAfeeja[1] nov niz napadov zlonamerne programske opreme, ki ciljajo na severnokorejske prebežnike.
Zlonamerno programsko opremo, poimenovano RedDawn, so varnostni strokovnjaki našli v treh različnih aplikacijah v trgovini Google Play. Če se izvede in namesti na napravi Android, lahko ukrade veliko osebnega informacije, kot so seznam stikov, sporočila, fotografije, telefonske številke, informacije o družbenih medijih in podobni podatki. Kasneje se lahko uporablja za grožnjo žrtvam.
Te okužene aplikacije lahko brezplačno prenesete z njihovih uradnih spletnih mest in drugih virov. Vendar se je hekerska skupina, imenovana Sun Team, zanašala na drugo metodo – Facebookov Messenger. Uporabili so ga za komunikacijo z žrtvami in jih pozvali k prenosu virusa z lažnimi sporočili. Ponarejeni računi, ki so jih ustvarili hekerji, uporabljajo ukradene fotografije Južnih Korejcev iz družbenih omrežij, kar nekaj posameznikov pa je prijavilo goljufijo z identiteto.
Kot je očitno, so kibernetski zlonamerci širili zlonamerno programsko opremo z uporabo Messengerja[3] že nekaj časa in ne zdi se, da se bodo tovrstni napadi kmalu končali. Od odkritja je Google odstranil vse zlonamerne aplikacije.
Zlonamernih aplikacij, na srečo, ni preneslo veliko
Te tri aplikacije, ki jih je varnostna skupina McAfee odkrila kot zlonamerne, so:
- 음식궁합 (Informacije o živilskih sestavinah)
- Hitro zaklepanje aplikacij
- AppLockFree
Medtem ko se je prva aplikacija osredotočala na pripravo hrane, sta bili drugi dve povezani s spletno varnostjo (ironično). Ne glede na vsebino aplikacije se zdi, da je ekipa Sun poskušala pritegniti več ljudi.
Okužbe so večstopenjske, saj prvi dve aplikaciji prejemata ukaze, skupaj z izvedljivo datoteko .dex z oddaljenega strežnika v oblaku. Domneva se, da se za razliko od prvih dveh aplikacij AppLockFree uporablja za fazo nadzora okužbe. Kljub temu lahko zlonamerna programska oprema zbere potrebne informacije o uporabnikih in jih pošlje ekipi Sun Team z uporabo storitev v oblaku Dropbox in Yandex, ko se izvede naklad.
Varnostnim strokovnjakom je uspelo ujeti zlonamerno programsko opremo v zgodnjih fazah, kar pomeni, da se ni močno razširila. Kljub temu se domneva, da se je zgodilo okoli 100 okužb, preden je Google umaknil zlonamerne aplikacije iz njihove trgovine.
Prejšnji napadi ekipe Sun so bili usmerjeni tudi na korejske prebege
RedDawn ni prvi napad zlonamerne programske opreme, ki ga izvaja Sun Team. Varnostni raziskovalci so januarja 2018 objavili poročilo o drugem nizu napadov zlonamerne programske opreme, ki so ciljali na korejske prebežnike in novinarje, ki uporabljajo Kakao Talk.[4] in druga družbena omrežja v letu 2017. Trajalo je dva meseca, preden je Google opazil in odstranil zlonamerne aplikacije.
Varnostni raziskovalci bi lahko te napade zanesljivo povezali s Severnimi Korejci na podlagi dejstva, da so na nadzornem strežniku zlonamerne programske opreme našli nekaj besed, ki niso domače v Južni Koreji. Poleg tega je IP naslov kazal tudi na Severno Korejo.
Glede na raziskave je okoli 30.000 Severnokorejcev pobegnilo na jug in več kot 1000 jih vsako leto poskuša pobegniti pred režimom. Čeprav se je Kim Jong Un pred kratkim pogovarjal z ameriškimi in južnokorejskimi voditelji o koncu 60-letne vojne,[5] takšni napadi dokazujejo, kako zatiralski so v resnici pogledi severnokorejskih voditeljev.