Používaní čínski hackeri Facebook hacknúť ujgurských moslimov žijúcich v zahraničí

Facebook môže byť v Číne zakázaný, ale spoločnosť v stredu uviedla, že narušila sieť zlých aktérov využívajúcich jej platformu, aby sa zamerali na komunitu Ujgurov a nalákali ich na stiahnutie škodlivého softvéru, ktorý by umožnil sledovanie ich zariadení.

“Zamerali sa na aktivistov, novinárov a disidentov prevažne medzi Ujgurmi zo Sin-ťiangu v Číne, ktorí žijú predovšetkým v zahraničí v Turecku, Kazachstane, Spojených štátoch, Sýrii, Austrálii, Kanade a ďalších krajinách,” FacebookPovedali to šéf vyšetrovania kybernetickej špionáže Mike Dvilyanski a šéf bezpečnostnej politiky Nathaniel Gleicher. “Táto skupina používala rôzne kyberšpionážne taktiky, aby identifikovala svoje ciele a infikovala svoje zariadenia malvérom, aby umožnila sledovanie.”

Gigant sociálnych médií uviedol, že „dobre zabezpečená a vytrvalá operácia“ je spojená s aktérom hrozby známym ako Evil Eye (alebo Earth Empusa), čínskym kolektívom, ktorý je známy svojou históriou špionážnych útokov proti moslimskej menšine v krajine. od augusta 2019 prostredníctvom „strategicky kompromitovaných webových stránok“ využívaním zariadení iOS a Android ako útočnej plochy na získanie prístupu k účtom Gmail.

Zverejnenie prišlo niekoľko dní po tom, čo Európska únia, Spojené kráľovstvo, USA a Kanada spoločne oznámili sankcie voči niekoľkým vysokým predstaviteľom v Číne za porušovanie ľudských práv voči Ujgurom v čínskej provincii Sin-ťiang.

Hovorí sa, že Evil Eye sa uchýlil k mnohostrannému prístupu, aby zostal pod kontrolou a skryl svoj zlomyseľný zámer tým, že sa vydával za novinárov, študentov, obhajcov ľudských práv alebo členov ujgurskej komunity, aby si u cielených obetí vybudoval dôveru predtým, než ich prinúti kliknúť na škodlivé odkazy. .

Okrem úsilia v oblasti sociálneho inžinierstva kolektív využil sieť webových stránok zamorených malvérom, legitímne kompromitované webové stránky a podobné domény pre populárne ujgurské a turecké spravodajské stránky, ktoré sa používali ako vodná diera na prilákanie a selektívne infikovanie používateľov iPhone na základe určitých technických kritérií. vrátane IP adresy, operačného systému, prehliadača, krajiny a nastavení jazyka.

„Niektoré z týchto webových stránok obsahovali škodlivý kód javascript, ktorý sa podobal skôr oznámeným exploitom, ktoré nainštalovali malvér iOS známy ako INSOMNIA do zariadení ľudí, keď boli napadnuté,“ poznamenala spoločnosť. Insomnia prichádza s funkciami na extrakciu údajov z rôznych aplikácií pre iOS, ako sú kontakty, poloha a iMessage, ako aj z klientov na odosielanie správ tretích strán od Signal, WhatsApp, Telegram, Gmail a Hangouts.

Samostatne, Evil Eye tiež zriadilo podobné obchody s aplikáciami pre Android tretích strán na publikovanie trojanizovaných aplikácií s Ujgurskou tematikou, ako je klávesnica, modlitebná aplikácia a slovníková aplikácia, ktoré slúžili ako kanál na nasadenie dvoch malvérových kmeňov Android ActionSpy a PluginPhantom. Ďalšie vyšetrovanie rodín škodlivého softvéru pre Android spájalo útočnú infraštruktúru s dvoma čínskymi spoločnosťami Beijing Best United Technology Co., Ltd. (Best Lh) a Dalian 9Rush Technology Co., Ltd. (9Rush).

„Tieto firmy so sídlom v Číne sú pravdepodobne súčasťou rozľahlej siete predajcov s rôznym stupňom prevádzkovej bezpečnosti,“ poznamenali vedci.

V sérii protiopatrení spoločnosť uviedla, že zablokovala zdieľanie príslušných škodlivých domén na svojej platforme, deaktivovala porušujúce účty a informovala približne 500 ľudí, na ktorých sa protivník zameral.

Nie je to prvýkrát Facebook zaviedla technologické firmy, ktoré fungujú ako zástera pre štátom sponzorované hackerské aktivity. V decembri 2020 sociálna sieť formálne prepojila OceanLotus so spoločnosťou v oblasti informačných technológií s názvom CyberOne Group so sídlom vo Vietname.