Facebook razotkrio sajber špijunažu na svojoj platformi

Društvene mreže, 08.08.2022, 12:00 PM

Kompanija Meta (ranije Facebook) otkrila je da je preduzela mere protiv dve špijunske hakerske grupe iz Južne Azije koje su koristile njene platforme za distribuciju malvera i infekciju potencijalnih meta.

Iza jedne kampanje stoji hakerska grupa praćena pod imenom Bitter APT (APT-C-08 ili T-APT-17), koja cilja pojedince na Novom Zelandu, u Indiji, Pakistanu i Velikoj Britaniji.

Bitter je koristio razne taktike, uključujući i društveni inženjering, da bi zarazio uređaje ciljeva malverom.

„Koristili su miks servisa za skraćivanje linkova, zlonamernih domena, kompromitovanih veb sajtova i hosting provajdera da distribuiraju svoj malver.“

Bitter je registrovao naloge fiktivnih ličnosti na platformi, obično atraktivnih mladih žena, pokušavajući da izgradi poverenje sa metama napada i namami ih da kliknu na linkove koji su vodili žrtve do malvera.

Napadači bi ubedili žrtve da preuzmu iOS aplikaciju za ćaskanje preko Apple TestFlighta, legitimnog onlajn servisa koji se koristiti za testiranje aplikacija i pružanje povratnih informacija programerima aplikacija.

„Ovo je značilo da hakeri nisu morali da se oslanjaju na eksploatacije da bi ciljevima isporučili prilagođeni malver i da su mogli da koriste zvanične Apple servise za distribuciju aplikacije u pokušaju da ona izgleda legitimnije, ubeđujući ljude da preuzmu Apple Testflight i tako ih prevarili da instaliraju njihovu aplikaciju za ćaskanje", rekli su istraživači.

Iako je tačna funkcionalnost aplikacije nepoznata, sumnja se da je korišćena kao sredstvo za nadzor nad žrtvama kampanje.

Pored toga, Bitter APT je koristio ranije nepoznati Android malver pod nazivom Dracarys, koji zloupotrebljava dozvole pristupa operativnom sistemu za instaliranje aplikacija, snimanje zvuka, snimanje fotografija i prikupljanje osetljivih podataka sa zaraženih telefona kao što su evidencije poziva, kontakti, fajlovi, poruke, geolokacija i informacije o uređaju.

Dracarys je isporučivan preko trojanizovanih dropper aplikacija koje se predstavljaju kao YouTube, Signal, Telegram i WhatsApp.

Meta je primetila da se grupa trudila da spreči otkrivanje i blokiranje objavljivanjem linkova ili slika linkova u ćaskanjima, zahtevajući od žrtava da ukucaju link u svoje pretraživače.

Poreklo Bittera je za sad zagonetka, ali se veruje da je grupa iz Južne Azije. Grupa je nedavno proširila fokus na napade na vojne entitete u Bangladešu.

Druga hakerska grupa koji je Meta primetila je Transparent Tribe (APT36), za koju se tvrdi da je iz Pakistana i koja cilja vladine agencije u Indiji i Avganistanu.

Prošlog meseca, Cisco Talos je povezao ovu grupu sa fišing kampanjom usmerenom protiv studenata u različitim obrazovnim institucijama u Indiji.

Meta je među žrtvama napada ove grupe identifikovala vojna lica, vladine zvaničnike, zaposlene u organizacijama za ljudska prava i drugim neprofitnim organizacijama i studente koji se nalaze u Avganistanu, Indiji, Pakistanu, Saudijskoj Arabiji i U.A.E.

Grupa je takođe koristila profile fiktivnih ličnosti, predstavljajući se potencijalnim žrtvama kao zaposleni u pravim ali i lažnim kompanijama, vojna lica ili privlačne mlade žene koje žele da ostvare romantičnu vezu, računajući na to da će žrtve otvoriti link koji ih vodi do malvera.

Žrtve su preuzimale fajlove koji su sadržali LazaSpy, modifikovanu verziju Android softvera otvorenog koda za nadzor pod nazivom XploitSPY. Takođe, grupa je koristila i klonove aplikacija WhatsApp, WeChat i YouTube za isporuku drugog malvera poznatog kao Mobzsar (CapraSpy).

Oba malvera mogu da prikupljaju evidencije poziva, kontakte, fajlove, poruke, geolokaciju, informacije o uređaju i fotografije, kao i da koriste mikrofon uređaja, što ih čini efikasnim alatima za nadzor.