Gigantul social media Facebook publicat recent pe blogul său un articol “Taking Action Against Hackers in China” în care anunță faptul că experții săi în securitate cibernetică lucrează intens pentru identificarea și stoparea unei game largi de amenințări, inclusiv campanii de spionaj cibernetic, operațiuni de influență (fake-news) și alte practici neortodoxe derulate de actori statali și alți pirați cibernetici prin intermediul platformei de socializare. Ca parte a acestor eforturi, Facebook încearcă perturbarea acestui gen de activități, dezactivând unele instrumente exploatate, notificând utilizatorii în situații în care ar trebui să ia măsuri pentru protejarea conturilor și mergând până la prezentarea publică a datelor colectate.
De data aceasta au ales să expună public acțiunile întreprinse împotriva grupării de hackeri, cunoscuți în industria cybersecurity sub numele de Earth Empusa sau Evil Eye. Se pare că acești băieți au reușit să-și folosească inteligent infrastructura pentru a abuza de platforma Facebook, distribuind malware, reușind implicit și compromiterea unor conturi ale unor activiști, jurnaliști și disidenți, predominant cetățeni din regiunea Xinjiang (China), care locuiesc în străinătate în Turcia, Kazahstan, Statele Unite, Siria, Australia, Canada și alte țări. Acest grup a folosit diverse tactici de spionaj cibernetic pentru identificarea țintelor și infectarea dispozitivelor cu malware cu funcționalități ce permit monitorizarea de la distanță.
Experții Facebook declară că activitatea Earth Empusa, documentată recent, prezintă semnele distinctive ale unei operațiuni cu resurse financiare solide, ce pune accent pe obfuscarea elementelor ce ar putea duce la autori. Pe platforma de socializare, campania de spionaj cibernetic s-a concentrat pe distribuirea de malware prin trimiterea de linkuri către site-uri web malițioase, nu prin partajarea directă a malware-ului în sine.
Astfel, au identificat următoarele tactici, tehnici și proceduri (TTP) utilizate de gruparea Earth Empusa / Evil Eye.
- Selective targeting and exploit protection
- Compromising and impersonating news websites
- Social engineering
- Using fake third party app stores (Android – ActionSpy sau PluginPhantom)
- Outsourcing malware development
Metodele nu sunt de noutate, abordarea fiind cea care a făcut diferența. Pentru întreruperea acestei operațiuni, Facebook a blocat distribuirea pe platformă a domeniilor malițioase, conturile asociate grupului au fost eliminate, iar persoanele țintite au fost notificate.
“Like a lot of espionage campaigns this was super targeted.” Nathaniel Gleicher – Head of Cybersecurity Policy at Facebook