Facebook Zmarila operáciu palestínskych hackerov šíriacich mobilný spyware

Facebook v stredu uviedla, že podnikla kroky na odstránenie škodlivých aktivít páchaných dvoma štátom podporovanými hackerskými skupinami pôsobiacimi mimo Palestíny, ktoré zneužívali jej platformu na distribúciu škodlivého softvéru.

Gigant sociálnych médií pripísal útoky sieti napojenej na Preventívnu bezpečnostnú službu (PSS), bezpečnostný aparát štátu Palestína, a ďalšiemu aktérovi hrozby známemu ako Arid Viper (aka Desert Falcon a APT-C-23), z ktorých posledný je údajne spojený s kybernetickou vetvou Hamasu.

Dve digitálne špionážne kampane, aktívne v rokoch 2019 a 2020, využívali celý rad zariadení a platforiem, ako sú Android, iOS a Windows, pričom klaster PSS cieli predovšetkým na domáce publikum v Palestíne. Druhá skupina útokov išla po užívateľoch na palestínskych územiach a Sýrii a v menšej miere v Turecku, Iraku, Libanone a Líbyi.

Zdá sa, že obe skupiny využili platformu ako odrazový mostík na spustenie rôznych útokov sociálneho inžinierstva v snahe nalákať ľudí na klikanie na škodlivé odkazy a inštaláciu škodlivého softvéru na ich zariadenia. Aby sa narušili operácie protivníka, Facebook povedal, že odstránil ich účty, zablokoval domény spojené s ich aktivitou a upozornil používateľov, o ktorých má podozrenie, že ich tieto skupiny vybrali, aby im pomohli zabezpečiť ich účty.

Android Spyware v benígnych chatových aplikáciách

Hovorí sa, že PSS používal vlastný malvér pre Android, ktorý bol zamaskovaný ako bezpečné chatovacie aplikácie, aby tajne zachytával metadáta zariadenia, zachytával stlačenia klávesov a odovzdával údaje do Firebase. Okrem toho skupina nasadila ďalší malvér pre Android s názvom SpyNote, ktorý prišiel so schopnosťou monitorovať hovory a vzdialený prístup k napadnutým telefónom.

Táto skupina používala falošné a kompromitované účty na vytváranie fiktívnych osôb, ktoré sa často vydávali za mladé ženy a tiež za podporovateľky Hamasu, Fatahu, rôznych vojenských skupín, novinárov a aktivistov s cieľom vybudovať vzťahy s cieľmi a naviesť ich na phishingové stránky. a iné škodlivé webové stránky.

“Tento pretrvávajúci hroziaci aktér sa zameral na široké spektrum cieľov vrátane novinárov, ľudí, ktorí sú proti vláde vedenej Fatahom, aktivistov za ľudské práva a vojenských skupín vrátane sýrskej opozície a irackej armády,” dodal. Facebook uviedli vedci, ktorí vedú vyšetrovanie kybernetickej špionáže.

Sofistikovaná špionážna kampaň

Na druhej strane bolo pozorované, že Arid Viper do svojich cielených kampaní začleňuje nový vlastný sledovací softvér pre iOS s názvom „Phenakite“, ktorý Facebook spoločnosť poznamenala, že dokázala ukradnúť citlivé používateľské údaje z telefónov iPhone bez toho, aby tieto zariadenia pred kompromisom ukradla z väzenia. Phenakite bol dodaný používateľom vo forme plne funkčnej, ale trojanizovanej chatovacej aplikácie s názvom MagicSmile hostovanej na čínskej stránke na vývoj aplikácií tretej strany, ktorá tajne bežala na pozadí a získavala údaje uložené v telefóne bez vedomia používateľa.

Skupina tiež udržiavala obrovskú infraštruktúru zahŕňajúcu 179 domén, ktoré sa používali na hosťovanie škodlivého softvéru alebo fungovali ako servery príkazov a ovládania (C2).

“Obsah návnady a známe obete naznačujú, že cieľovou demografickou skupinou sú jednotlivci spojení s profatahskými skupinami, palestínskymi vládnymi organizáciami, vojenským a bezpečnostným personálom a študentskými skupinami v Palestíne,” dodali vedci.

Facebook podozrieva Arid Viper, že malvér pre iOS použil iba v niekoľkých prípadoch, čo naznačuje vysoko cielenú operáciu, pričom hackeri spojení s Hamasom sa súčasne sústredili na vyvíjajúci sa súbor spywarových aplikácií pre Android, ktoré tvrdili, že uľahčujú zoznamovanie, vytváranie sietí a regionálne bankovníctvo. na Strednom východe, pričom protivník maskuje malvér ako falošné aktualizácie aplikácií pre legitímne aplikácie, ako je WhatsApp.

Po nainštalovaní malvér vyzval obete, aby zakázali službu Google Play Protect a udelili aplikácii povolenia správcu zariadenia pomocou zavedeného prístupu na nahrávanie hovorov, zachytávanie fotografií, zvuku, videa alebo snímok obrazovky, zachytávanie správ, sledovanie polohy zariadenia, získavanie kontaktov, protokoly hovorov. a podrobnosti kalendára a dokonca aj informácie o upozorneniach z aplikácií na odosielanie správ, ako je WhatsApp, Instagram, Imo, Viber a Skype.

V snahe pridať ďalšiu vrstvu zahmlievania sa potom zistilo, že malvér kontaktoval množstvo stránok kontrolovaných útočníkmi, ktoré zase poskytli implantátu server C2 na exfiltráciu údajov.

„Arid Viper nedávno rozšírili svoju útočnú súpravu o malvér pre iOS, o ktorom sa domnievame, že je nasadzovaný pri cielených útokoch proti skupinám a jednotlivcom, ktorí podporujú Fatah,“ Facebook povedali výskumníci. “Keďže technologickú vyspelosť Arid Viper možno považovať za nízku až strednú, toto rozšírenie schopností by malo obrancom signalizovať, že iní protivníci na nízkej úrovni už môžu vlastniť alebo si môžu rýchlo vyvinúť podobné nástroje.”