Facebook Pozastavuje účty používané iránskymi hackermi na zacielenie na americký vojenský personál

Facebook vo štvrtok odhalila, že rozložila „sofistikovanú“ online kyberšpionážnu kampaň vedenú iránskymi hackermi zameranú na približne 200 vojenských pracovníkov a spoločností v obrannom a leteckom sektore v USA, Spojenom kráľovstve a Európe pomocou falošných online osôb na svojej platforme.

Gigant sociálnych médií pripísal útoky aktérovi hrozby známemu ako Tortoiseshell (alias Imperial Kitten) na základe skutočnosti, že protivník používal podobné techniky v minulých kampaniach pripisovaných skupine hrozieb, o ktorej bolo predtým známe, že sa zameriava na priemysel informačných technológií v Saudská Arábia, čo naznačuje zjavné rozšírenie zákernej činnosti.

„Táto skupina používala rôzne škodlivé taktiky na identifikáciu svojich cieľov a infikovanie svojich zariadení malvérom, aby umožnila špionáž,“ povedali Mike Dvilyanski, vedúci vyšetrovania kybernetickej špionáže, a David Agranovich, riaditeľ, Threat Disruption, at Facebook. “Táto aktivita mala znaky dobre zabezpečenej a vytrvalej operácie, pričom sa spoliehala na pomerne silné operačné bezpečnostné opatrenia, aby sa skrylo, kto za ňou stojí.”

Podľa spoločnosti boli útoky súčasťou oveľa väčšej kampane naprieč platformami, pričom zlí aktéri využívali páku Facebook ako vektor sociálneho inžinierstva na presmerovanie obetí na nečestné domény prostredníctvom škodlivých odkazov.

Na tento účel vraj Tortoiseshell nasadil sofistikované fiktívne osoby, aby kontaktoval svoje ciele, a niekedy sa s nimi zaoberal celé mesiace, aby si vybudoval dôveru, maskovaním sa za náborárov a zamestnancov obranných a leteckých spoločností, zatiaľ čo niekoľko ďalších tvrdilo, že pracujú v pohostinstve. medicína, žurnalistika, mimovládne organizácie a letecké spoločnosti.

Podvodné domény, vrátane falošných verzií portálu amerického ministerstva práce na hľadanie zamestnania a náborových webových stránok, boli navrhnuté tak, aby sa zamerali na osoby pravdepodobného záujmu v leteckom a obrannom priemysle s konečným cieľom spáchania krádeže poverení a odčerpávania údajov z e-mailových účtov patriacich ciele.

Okrem využitia rôznych platforiem na spoluprácu a zasielanie správ na presun konverzácií mimo platformy a poskytovanie cieľového škodlivého softvéru ich obetiam, aktér hrozby tiež profiloval svoje systémy na vysávanie informácií o sieťach, ku ktorým boli zariadenia pripojené, a o softvéri, ktorý je na nich nainštalovaný. nasadiť plnohodnotné trójske kone so vzdialeným prístupom (RAT), nástroje na prieskum zariadení a siete a zapisovače stlačených klávesov.

ďalej FacebookAnalýza malvérovej infraštruktúry Tortoiseshell zistila, že časť ich sady nástrojov vyvinul Mahak Rayan Afraz (MRA), IT spoločnosť v Teheráne s väzbami na Islamské revolučné gardy (IRGC).

“Aby sme prerušili túto operáciu, zablokovali sme zdieľanie škodlivých domén na našej platforme, odstránili sme účty skupiny a upozornili sme ľudí, o ktorých sa domnievame, že boli cieľom tohto aktéra hrozby,” uviedli Dvilyanski a Agranovich. Bolo odstránených približne 200 účtov prevádzkovaných hackerskou skupinou, Facebook pridané.