Pomimo odprężenia, które pojawiło się ostatnio między Koreą Północną i Stanami Zjednoczonymi oraz Koreą Południową, Pjongjang nadal przeprowadza cyberataki na całym świecie. W ostatnich miesiącach tajemnicza grupa hakerów o nazwie Sun Team usiłowała przeniknąć do telefonów z systemem Android należących do osób zbiegłych z Korei Północnej, wykorzystując do tego phishing na Facebooku i złośliwe oprogramowanie umieszczane w sklepie Google Play – wynika z badań McAfee, firmy zajmującej systemami ochrony przed włamaniami do sieci komputerowych.

Wygląda na to, że jest to pierwszy przypadek, gdy hakerzy z Korei Północnej przełamali systemy bezpieczeństwa w sklepie Google’a i oznacza on, że hakerzy działający na zlecenie władz Korei Północnej są coraz bardziej zaawansowani.

Sun Team przeniknął do Google Play przy pomocy trzech różnych narzędzi szpiegowskich w styczniu. Wszystkie podszywały się pod aplikacje, którymi faktycznie nie były, aby w ten sposób wykradać prywatne dane z zainfekowanych telefonów. Dwie z nich udawały aplikacje bezpieczeństwa – Fast AppLock i AppLockFree. Trzecia, co dość dziwne, poświęcona była składnikom używanym do przyrządzania potraw. Wszystkie umieszczono w grupach użytkowników Facebooka powiązanych z uciekinierami z Korei Północnej, w okresie od stycznia do marca, za pomocą fałszywego profilu utworzonego przez Sun Team lub wprowadzono je za pośrednictwem prywatnych wiadomości w tej sieci społecznościowej, podała firma zajmująca się bezpieczeństwem w internecie.

KakaoTalk, popularna w Korei Południowej aplikacja do czatu, również była wykorzystana do wysyłania linków do złośliwego oprogramowania.

Wszystkie nieuczciwe aplikacje na Androida zostały usunięte ze sklepu Google Play, gdy tylko wykryto, że obeszły one zabezpieczenia zastosowane przez giganta technologicznego w tym jego oficjalnym serwisie z aplikacjami na Androida. Były one aktywne na platformie Google’a przez dwa miesiące i pobrano jej jedynie około 100 razy, ale biorąc pod uwagę wyraźnie ukierunkowany charakter ataków, można uznać to za udaną akcję hakerów. Do czasu publikacji tego tekstu firma Google nie odpowiedziała na prośbę o komentarz.

Dwa fałszywe profile Sun Team na Facebooku pozostają aktywne – odkrył „Forbes”. W jednym z nich, powiązanym ze złośliwym oprogramowaniem udostępnianym w Google Play, użyto wizerunku hollywoodzkiego aktora, Toma Cruise’a, jako zdjęcia profilowego, a następnie podmieniono je na zdjęcie ukradzione z bloga pewnego inżyniera z Azji. „Forbesowi” nie udało się znaleźć linków do fałszywych aplikacji bezpieczeństwa umieszczonych na Facebooku, ale odkrył próbę rozpowszechnienia za pomocą tego profilu aplikacji dotyczącej składników posiłków, na bardzo popularnej stronie południowokoreańskiego Facebooka, obserwowanej przez 640 tysięcy osób.

Facebook poinformował, że wie o nieuczciwych linkach i podjął odpowiednie przeciwdziałania oraz powiadomił o sytuacji osoby, które były celem ataku.

Po zainfekowaniu smartfonów złośliwym oprogramowaniem, hakerzy starali się wydobyć z zainstalowanych w nich systemów Android zdjęcia, wiadomości tekstowe, nagrania rozmów oraz wszelkie inne dane, powiedział Raj Samani, główny naukowiec w firmie McAfee. Wszystkie te dane miały trafić na konta w Dropbox i Yandex kontrolowane przez hakerów, którzy uzyskali także możliwość wydawania poleceń zaatakowanym urządzeniom z Androidem. Dwie wymienione powyżej usługi przechowywania danych w chmurze wykorzystano także do gromadzenia danych uzyskanych w poprzednich atakach Sun Team, nakierowanych na telefony z Androidem, co ujawniła firma McAfee w styczniu. Wówczas, również Facebook był wykorzystywany do rozprzestrzeniania linków do złośliwego oprogramowania, podczas gdy samo szkodliwe oprogramowanie było udostępnione na platformie Google Drive.

Czy to Korea Północna jest winna?
Firma McAfee nie wskazuje kto konkretnie miałby stać za atakami, ale podaje pewne wskazówki skąd pochodzi Sun Team. W kodzie hakerów znajdował się bowiem nieukryty adres IP wskazujący na Koreę Północną (chociaż firma odmówiła podania dalszych szczegółów), a w najnowszych atakach koreańskie opisy aplikacji w Google Play były, jak to określono, „niezręczne”.

„Te rzeczy są mocnym dowodem na to, że osoby stojące za tymi kampaniami nie są rdzennymi Koreańczykami z Korei Południowej, ale znają jej kulturę i język. Elementy te sugerują, ale nie potwierdzają, jakiej narodowości są ludzie odpowiedzialni za kampanie z użyciem złośliwego oprogramowania” – napisała firma McAfee w raporcie udostępnionym „Forbesowi” jeszcze przed jego publikacją.

Rewelacje dotyczące ataków na system Android pojawiły się zaledwie tydzień po ujawnieniu przez „Forbesa”, że hakerzy z Korei Północnej po raz pierwszy aktywnie tworzą oprogramowanie szpiegujące nacelowane na iPhony Apple’a. Wcześniej firma McAfee odkryła, że Grupa Lazarus – która to najprawdopodobniej włamała się do komputerów Sony Pictures w roku 2014, a za zleceniem tego ataku hakerskiego stała, jak się przypuszcza, Korea Północna – skopiowała aplikacje z Google Play, by przeprowadzić atak poza tym sklepem.

Niezależnie od oceny ich sukcesów, trzeba powiedzieć, że hakerzy z Korei Północnej kontynuują i poważnie traktują swoje operacje szpiegowania smartfonów. Jeśli pokojowe relacje z Pjongjangiem nie utrzymają się, to należy spodziewać się kolejnych ataków hakerskich.