Facebook Zakazuje pakistanské a sýrske hackerské skupiny za zneužívanie ich platformy

Meta, spoločnosť predtým známa ako Facebook, oznámila v utorok, že podnikla kroky proti štyrom samostatným zákerným kybernetickým skupinám z Pakistanu a Sýrie, ktoré boli nájdené zamerané na ľudí v Afganistane, ako aj proti novinárom, humanitárnym organizáciám a protirežimným vojenským silám v tejto západoázijskej krajine.

Pakistanský aktér hrozieb, prezývaný SideCopy, údajne použil platformu na vyčlenenie ľudí s väzbami na afganskú vládu, armádu a orgány činné v trestnom konaní v Kábule.

Kampaň, ktorú Meta nazvala „dobre zabezpečenou a trvalou operáciou“, zahŕňala posielanie škodlivých odkazov, často skrátených pomocou služieb skracovania adries URL, na webové stránky, ktoré hostili malvér v období od apríla do augusta 2021, pričom operátori vystupovali ako mladé ženy a podvádzali. príjemcovia s romantickými návnadami v snahe prinútiť ich kliknúť na phishingové odkazy alebo stiahnuť trojanizované chatovacie aplikácie.

Analytici spravodajských informácií o hrozbách Meta uviedli, že tieto aplikácie boli zásterkou pre dva odlišné kmene malvéru, trójsky kôň na diaľku s názvom PJobRAT, ktorý bol predtým nájdený zameraný na indické vojenské sily, a doteraz nezdokumentovaný implantát s názvom Mayhem, ktorý je schopný získavať zoznamy kontaktov, textové správy, protokoly hovorov, informácie o polohe, mediálne súbory, metadáta zariadenia a dokonca aj zoškrabovanie obsahu na obrazovke zariadenia zneužívaním služieb dostupnosti.

Okrem iných taktík SideCopy sa hackerská skupina zapájala do množstva hanebných činností, vrátane prevádzkovania obchodov s nečestnými aplikáciami, kompromitovania legitímnych webových stránok na hosťovanie škodlivých phishingových stránok, ktoré boli navrhnuté tak, aby zmanipulovali ľudí, aby sa vzdali svojich Facebook poverenia. Skupina bola očistená od Facebook v auguste.

Okrem toho Meta tiež uviedla, že narušila tri hackerské siete spojené so sýrskou vládou a konkrétne so sýrskym spravodajským letectvom –

  • Sýrska elektronická armáda aka APT-C-27, ktorá sa zamerala na humanitárne organizácie, novinárov a aktivistov v južnej Sýrii, kritikov vlády a jednotlivcov spojených s protirežimnou Slobodnou sýrskou armádou pomocou phishingových odkazov s cieľom dodať zmes komerčne dostupného a vlastného malvéru, ako napr. njRAT a HmzaRat, ktoré sú navrhnuté tak, aby zbierali citlivé informácie o používateľovi.
  • APT-C-37, ktorá sa zamerala na ľudí napojených na Slobodnú sýrsku armádu a vojenský personál spojený s opozičnými silami s komoditnými zadnými dvierkami známymi ako SandroRAT a interne vyvinutou skupinou škodlivého softvéru s názvom SSLove prostredníctvom schém sociálneho inžinierstva, ktoré navádzali obete na návštevu webových stránok maskovaných ako Telegram, Facebook, YouTubea WhatsApp, ako aj obsah zameraný na islam.
  • Napojená na vládu nemenovaná hackerská skupina ktorá sa zamerala na menšinové skupiny, aktivistov, opozíciu v južnej Sýrii, kurdských novinárov a členov jednotiek ľudovej ochrany a sýrskej civilnej obrany, pričom operácia sa prejavila vo forme útokov sociálneho inžinierstva, ktoré zahŕňali zdieľanie odkazov na webové stránky s napodobňovaním aplikácií s malvérom. WhatsApp a YouTube ktorá do zariadení nainštalovala nástroje vzdialenej správy SpyNote a Spymax.

„Aby sme narušili tieto škodlivé skupiny, deaktivovali sme ich účty, zablokovali sme uverejňovanie ich domén na našej platforme, zdieľali sme informácie s našimi kolegami z odvetvia, bezpečnostnými výskumníkmi a orgánmi činnými v trestnom konaní a upozornili sme ľudí, o ktorých sa domnievame, že boli cieľom týchto hackerov,“ Mike Dvilyanski, vedúci vyšetrovania kybernetickej špionáže, a David Agranovich, riaditeľ pre narušenie hrozieb, uviedli.