Meta, компанията майка на Facebook, съобщи, че е осуетила дейността на три напреднали групи за постоянни заплахи (APTs) в Южна Азия, занимаващи се с кибершпионаж, както и на шест  групи от различни глобални региони, занимаващи се с това, което счита за „неавтентично поведение“ във Facebook и други социални мрежи.

Премахването на тези и други дейности на платформите на компанията е показателно за морето от последователно и глобално разпръснато експлоататорско поведение от страна на автори на заплахи, които използват различни онлайн платформи за създаване на сложни социално-инженерни кампании за привличане и експлоатиране на интернет потребители, заяви компанията.

В повечето случаи хакерите използват Facebook и други социални мрежи и медийни платформи – включително Twitter, Telegram, YouTube, Medium, TikTok и Blogspot – за създаване на различни фалшиви онлайн акаунти и личности, според Meta. Нападателите използват фалшиви самоличности, включително набиращи персонал за работа, журналисти или дори военни, за да спечелят доверието на потребителите и легитимните субекти, така че да могат да се включат в злонамерена дейност, свързана със заплахите, казва компанията.

В своя тримесечен доклад за заплахите от недоброжелатели, публикуван днес, Meta подробно описва тези инциденти, както и действията, които сега предприема, за да сведе до минимум заплахите за сигурността, които използват нейните платформи.

Докладът се основава на наблюдението на сигурността на Meta за използването на нейните платформи, както и на наблюдението на интернет като цяло, за да се отбележи злонамерената дейност, която все повече се разпръсква в различни платформи и географски райони и по този начин е по-трудно да бъде проследена, заяви пред журналисти Натаниел Глейхер, ръководител на политиката за сигурност в Meta, на брифинг за доклада на 2 май.

„Тези заплахи са изключително упорити и  няма да изчезнат напълно, защото хакерите, които стоят зад тях, са финансово мотивирани“, каза той. „Ето защо виждаме, че … противниковата адаптация … включително операторите на зловреден софтуер, се разпространяват на много места едновременно. Така че всяка фаза на кампанията разчита на различна услуга, за да оцелее“.

Като част от работата си за борба с тази дейност Meta също така планира да даде възможност и на бизнеса с нов инструмент, който ще пусне по-късно тази година, за да му помогне да идентифицира злонамерена дейност, както и зловреден софтуер, използван от групите за заплахи на собствените му платформи.

„Една от ключовите части на тази работа е да се учим от тези иновации и да подобряваме нашите продукти за сигурност при всяко ново нарушение“, каза Глейхер. „Това ни помага да изграждаме нови защити и методи за откриване не само срещу този конкретен хакер, но и срещу всеки друг , който иска да използва същата техника.“

Устойчивостта на нападателите вдъхнови този по-широк подход към сигурността от страна на Meta, каза той. Всъщност компанията е била критикувана и дори глобявана в миналото за широко разпространените заплахи както за сигурността, така и за неприкосновеността на личния живот, които са се разпространявали в нейните платформи за социални медии, и през последните няколко години е положила значителни усилия да засили своята игра в областта на сигурността.

Сега обаче става все по-ясно, че за да се предотврати тази дейност и произтичащите от нея кибератаки, не е достатъчно само Мета и другите интернет компании да наблюдават съответните си платформи и да информират потребителите и предприятията за злонамерена дейност – каза Глейхер.

„Ние предлагаме нещо като по-широка реакция на цялото общество, защото компрометирането често се случва извън нашите приложения и услуги“, каза той.

Спиране на южноазиатските APT

Като част от реакцията си в областта на сигурността Meta свали различни акаунти, за да прекъсне работата на три мрежи, свързани с южноазиатски APTs, насочени към различни потребители в региона, заяви компанията.

По-конкретно, компанията предприе действия срещу около 120 акаунта във Facebook и Instagram, свързани с нискоразрядна хакерска група, свързана със свързани с държавата групи в Пакистан. Групата е насочена предимно към хора в Индия и Пакистан, включително към военнослужещи в Индия и лица от пакистанските военновъздушни сили.

Според Meta групата е разчитала в голяма степен на мрежа от контролирани от атакуващите уебсайтове за разпространение на зловреден софтуер чрез високоцелеви кампании, целящи да подмамят мишените да кликнат върху злонамерени връзки и да изтеглят зловреден софтуер за Android или Windows.

Сред тактиките ѝ е било използването на фиктивни образи като вербовчици за фалшиви отбранителни компании и правителства; журналисти, военни и жени, търсещи романтична връзка, за да изгради доверие у потребителите. Използвали са и фалшиви приложения и уебсайтове, доставящи зловреден софтуер, съобщи компанията.

Meta също така премахна около 110 акаунта във Facebook и Instagram, свързани с APT, идентифицирана като Bahamut, която е била насочена към хора в Пакистан, Индия, включително региона на Кашмир. Целите са включвали военнослужещи, държавни служители, активисти и други.

Bahamut провеждаше различни кампании в интернет, включително услуги за съкращаване на връзки, компрометирани или контролирани от нападателите уебсайтове, официални и подправени магазини за приложения и доставчици на хостинг от трети страни. Подобно на пакистанската APT, те са поддържали редица фиктивни образи, като целта им е била да подмамят хора в Южна Азия да предоставят информация или да компрометират мобилни устройства, предимно чрез използване на зловреден софтуер за Android, се посочва в доклада.

Meta се насочи и към друга базирана в Индия група за заплахи – Patchwork APT, като премахна около 50 акаунта във Facebook и Instagram, свързани с нейната дейност. Групата се е насочвала към хора в Пакистан, Индия, Бангладеш, Шри Ланка, района на Тибет и Китай, включително военнослужещи, активисти и малцинствени групи, съобщи компанията.

Подобно на другите APT групи, Patchwork също създава и поддържа серия от фиктивни личности и акаунти онлайн, някои от които се представят за журналисти от Обединеното кралство или ОАЕ, работещи както за легитимни, така и за фалшиви медии, военни или консултанти по отбранително разузнаване, заяви компанията.

Patchwork също така разпространява зловредни приложения в Google Play Store – за които Meta съобщи и бяха премахнати от Google – както и създава социално-инженерни кампании, целящи да подмамят хората да кликнат върху зловредни връзки и да изтеглят зловредни приложения. Групата демонстрира и значителна упоритост, като променя тактиката си в отговор на защитните действия на екипите по сигурността на Meta, заяви компанията.

„Тази противникова адаптация вероятно е увеличила режийните разходи и е намалила ефективността на операциите на Patchwork“, се казва в доклада.

Идентичностите като киберзаплахи

Meta също така е реагирала на поредица от географски разпръснати дейности на своите платформи, които нарича координирано неавтентично поведение (CIB), определяно като „координирани усилия за манипулиране на обществения дебат за постигане на стратегическа цел, в които фалшивите акаунти са централна част от операцията“, заяви компанията.

„Във всеки случай хората се координират помежду си и използват фалшиви акаунти, за да заблуждават другите за това кои са и какво правят“, се посочва в доклада.

Компанията премахна стотици акаунти във Facebook, различни страници и групи, както и акаунти в Instagram – в зависимост от региона – за мрежи от СИБ, които произхождат и действат в следните държави: Иран; Венецуела и САЩ; Того и Буркина Фасо; Грузия; и Китай, където са били разрушени две отделни мрежи, според доклада.

Макар че тактиките на всяка група се различават, в дейността им се наблюдават тенденции, като почти всички мрежи инвестират в създаването на фалшиви акаунти и фиктивни субекти в интернет, включително новинарски медийни организации, хактивистки групи и неправителствени организации, казва Нимо от Meta.

Освен това по-голямата част от мрежите, които Facebook премахна, може да са легитимни търговски субекти, включително ИТ компания в Китай, маркетингова фирма в САЩ и консултантска фирма за политически маркетинг в Африка, заяви компанията.

Meta включи в доклада си широк набор от индикатори за компрометиране, за да помогне на организациите да идентифицират злонамерената дейност, произтичаща от тези кампании в техните мрежи. Освен това тя ще продължи да споделя изследвания на заплахите с колеги и изследователи в областта на сигурността, за да помогне на компаниите да се борят със злонамерената дейност, насочена към компрометиране на техните мрежи и бизнес дейности, заяви компанията.