널리 사용되는 암호화 된 메시징 및 개인 정보 보호 앱의 가짜 버전이 발견되었습니다. Whatsapp, Telegram, Signal 및 PsiphonVPN의 가짜 버전은 레바논 정부에서 일하는 것으로 추정되는 해커가 만든 것으로 생각됩니다. 악의적 인 앱은 사용자가 자신의 메시지가 암호화되고 있다고 믿도록 속입니다. 그러나 실제로 레바논 해커는 의도적으로 만들어진 백도어와 맬웨어를 악용하여 사용자의 통신을 스누핑합니다..


모바일 보안 회사 Lookout과 Electronic Frontier Foundation에서 발표 한 보고서에 따르면 해커는 레바논의 중앙 정보 기관과 연결되어 있습니다. 이 보고서에 따르면 최대 20 개국의 피해자가 인기있는 보안 앱의 위조 버전을 다운로드했을 가능성이 있습니다.

위험한 트로이 목마

악성 앱은 합법적 인 앱과 거의 동일하게 보이도록 만들 수 있습니다. 이를 통해 사용자는 자신의 장치에서 무언가 이상한 일이 일어나고 있음을 알 수 없습니다. 이 경우 피해자는 비공식 온라인 앱 스토어에서 악성 앱을 다운로드했습니다. 일단 설치되면 안전하게 암호화 된 메시지 (Open Whisper의 신호 프로토콜로 보호됨)를 제공하지 않고 앱이 트로이 목마처럼 작동합니다.

트로이 목마는 해커가 장치 기능을 제어 할 수있는 매우 강력한 종류의 맬웨어입니다. 여기에는 통신 및 SMS 메시지 읽기, 이메일 액세스, 마이크 및 카메라 켜기, 연락처보기, GPS 켜기 및 해킹 된 장치에 포함 된 사진 및 기타 데이터 액세스가 포함됩니다..

레바논 연결

Lookout에서 게시 한 보고서를 "다크 카라 칼 : 전 세계 규모의 사이버 스파이". Lookout의 사이버 보안 연구원에 따르면, 그들은 국가 행위자의 참여를 가리키는 증거를 발견했습니다. Lookout에 따르면이 링크는 베이루트의 레바논 GDGS (General Directorate of General Security) 본부 내에서 테스트 장치가 발견 되었기 때문에 설정되었습니다.

“캠페인 테스트 및 운영을위한 장치는 레바논 정보 기관 중 하나 인 레바논 총무국 (GDGS) 소속 건물로 추적되었습니다. 이용 가능한 증거를 바탕으로 GDGS가 다크 카라 칼 배후의 행위자와 관련이 있거나이를 직접적으로 지원할 가능성이 있습니다. "

공표 된 문서는 주정부 후원 해커가“군사, 기업, 의료 전문가, 활동가, 언론인, 변호사 및 교육 기관”을 포함한 피해자의 개인 식별 데이터 및 지적 재산을 모두 훔쳤다는 사실을 보여줍니다.

마눌 작전

EFF에 따르면 Dark Caracal은 Manul 작전이라는 이전에 밝혀지지 않은 해킹 캠페인과 관련이있을 수 있습니다. 이 캠페인은 작년에 발견되었으며 카자흐스탄의 변호사, 언론인, 운동가, 반체제 인사들을 대상으로 뉘르 술탄 나자르 바 예프 대통령의 행동을 비난하는 것으로 밝혀졌다.

그러나 Manul 작전 (PDF)과 달리 Dark Caracal은 전 세계 목표를 목표로하는 국제 해킹 노력으로 발전한 것으로 보입니다. Lookout의 보안 인텔리전스 부사장 Mike Murray는 다음과 같이 말합니다.

"Dark Caracal은 지난 1 년 동안 전통적인 APT 배우들이 모바일을 기본 목표 플랫폼으로 사용하는 방향으로 나아가고있는 추세의 일부입니다.

"Dark Caracal이 사용한 Android 위협은 공개적으로 언급 한 세계 최초의 모바일 APT 중 하나입니다."

Lookout의 보고서에 따르면 Dark Caracal은 2012 년부터 활동을 시작했습니다. 이는 레바논 후원 해커가 오랜 기간 동안 경험과 전문 지식을 키우고 있음을 의미합니다. 이 보고서는 또한 다크 카라 칼이 여전히 활발히 활동 중이며 조만간 종료 될 가능성이 없음을 분명히합니다..

따라서이 해킹 사건은 미국, 영국, 러시아 및 중국과 같은 주요 국가 행위자가 아니라 전 세계 사이버 전쟁 능력을 갖춘 주요 주체가 아니라는 것을 상기시켜줍니다..

공격 벡터

Lookout의 연구원들이 수행 한 연구에 따르면 희생자들은 처음에 사회 공학 및 피싱 공격의 대상이되고 있습니다. 성공적인 스피어 피싱은 Pallas라는 맬웨어 페이로드와 이전에 볼 수 없었던 FinFisher의 수정을 전달하는 데 사용됩니다. Dark Caracal의 피싱 인프라에는 Facebook 및 Twitter와 같은 인기있는 웹 사이트를위한 가짜 포털이 포함되어 있습니다..

피싱 기술은 피해자를 감염된 버전의 인기있는 보안 및 개인 정보 앱이 장치에 유포되는 "워터 홀"서버로 안내하는 데 사용됩니다. 가짜 Facebook 프로필도 감염된 Whatsapp 및 기타 메신저 버전에 대한 악성 링크를 전파하는 데 도움이되었습니다..

Pallas가 포함 된 트로이 목마 앱에 감염되면 해커는 Command and Control (C)에서 2 차 페이로드를 제공 할 수 있습니다.&C) 서버. 연구원들이 발견 한 감염된 앱 중에는 PsiphonVPN의 위조 버전과 Orbot : TOR 프록시의 감염된 버전이있었습니다..

연구원들은 또한 Pallas“Adobe Flash Player 및 Android 용 Google Play Push가되기 위해 여러 앱에 숨어 있음”을 발견했습니다..

정교하지만 효과적

하루가 끝나면 Dark Caracal에서 사용하는 기술은 매우 일반적이며 특히 정교한 것으로 간주 할 수 없습니다. 그럼에도 불구하고이 해킹 캠페인은 2018 년 사이버 전쟁이 전 세계적으로 다각적이고 위협이 될 수 있음을 분명히 상기시켜줍니다. 이러한 유형의 해킹을 수행하는 도구는 한 국가의 행위자에서 다른 국가의 행위자로 교차 수분 처리되었으며, 해커에게 부여하는 무서운 기능으로 인해 2 단계 인증조차도 사용자를 보호 할 수없는 심각한 침투가 발생합니다..

항상 그렇듯이 메시지를 열 때 매우주의하는 것이 좋습니다. 사회 공학 피싱은 당신을 유혹하도록 설계되었으므로 링크를 클릭하기 전에 두 번 생각하십시오. 또한 앱이 필요한 경우 항상 공식 앱 스토어를 방문하여 감염된 앱으로 종료 될 가능성을 크게 줄이십시오. 마지막으로 VPN (Virtual Private Network) 사용자는 VPN 소프트웨어를 어디서 구할 수 있는지 항상주의를 기울여야하며 항상 합법적 인 소스에서이를 확보해야합니다..

의견은 작가 자신의 의견입니다.

타이틀 이미지 크레디트 : Ink Drop / Shutterstock.com

이미지 크레디트 : anastasiaromb / Shutterstock.com, wk1003mike / Shutterstock.com, smolaw / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me