Fb compartió hoy los detalles de una campaña de ataque que utilizó su plataforma como parte de una operación más amplia para espiar a periodistas, activistas y disidentes musulmanes uigures en todo el mundo. Las autoridades dicen que un grupo chino es responsable del ataque avanzado.
Este grupo usó Fb para crear cuentas falsas, que ahora se han eliminado, y distribuir enlaces a sitios internet maliciosos y malware de iOS y Android. Los atacantes utilizaron la plataforma social para atacar a los uigures de Xinjiang, China, que ahora viven en Estados Unidos, Turquía, Kazajstán, Siria, Australia, Canadá y otros países, informa la compañía.
La noticia del ataque llega la misma semana que Estados Unidos, Canadá, Unión Europea y Reino Unido impusieron sanciones contra funcionarios chinos por «graves abusos contra los derechos humanos» contra musulmanes uigures, que han sido objeto de detenciones masivas en China.
Esta campaña comenzó en 2019 y afectó al menos a 500 objetivos sin embargo, Facebook dice que esto solo explica partes del ataque que de alguna manera tocó la plataforma. La mayor parte de la actividad de ataque no lo hizo, dice Nathaniel Gleicher, jefe de política de seguridad de Fb.
Los atacantes crearon sitios net maliciosos de terceros que utilizaban dominios similares para sitios world-wide-web de noticias populares uigures y turcos también parecen haber comprometido sitios legítimos que los uigures visitan como parte de los ataques de abrevadero. Algunos sitios contenían código malicioso comparable a exploits reportados anteriormente que instalaron malware Insomnia iOS en dispositivos.
Para distribuir estos enlaces maliciosos, los atacantes utilizaron cuentas falsas de Fb para hacerse pasar por reporteros, estudiantes, defensores de los derechos humanos y otros miembros de la comunidad uigur para establecer confianza con sus víctimas y engañarlas para que hicieran clic en los enlaces maliciosos.
El grupo tuvo cuidado de ocultar su actividad al implementar el malware iOS solo cuando un objetivo cumplía criterios técnicos específicos, como la dirección IP, el sistema operativo, el navegador y la configuración de país e idioma, dice Mike Dvilyanski, jefe de investigaciones de ciberespionaje de Fb. Esta actividad fue altamente dirigida y diseñada para recopilar datos de personas.
Fb también encontró sitios internet diseñados para parecerse a las tiendas de aplicaciones de Android de terceros, donde los atacantes colocan aplicaciones falsas que pueden atraer a los objetivos uigures. Estos incluían una aplicación de teclado, una aplicación de oración y una aplicación de diccionario, todas las cuales contenían las variedades de malware ActionSpy o PluginPhantom para Android.
El análisis reveló que dos empresas chinas, Beijing Finest United Technological know-how y Dalian 9Rush Technological innovation, están detrás de algunas de las herramientas de Android. Facebook señala que la investigación de FireEye contribuyó a su evaluación.
«FireEye descubrió una operación dirigida a la comunidad uigur y otros hablantes de chino a través de aplicaciones móviles maliciosas que fueron diseñadas para recopilar una gran cantidad de información personal de las víctimas, incluida la ubicación GPS, SMS, listas de contactos, capturas de pantalla, audio y pulsaciones de teclas», dice Ben Read, director de análisis para Mandiant Danger Intelligence, en un comunicado, señalando que la operación que ha estado siguiendo FireEye ha estado activa desde 2019.
Facebook no atribuyó directamente este ataque al gobierno chino. Si bien puede ver la atribución geográfica, dicen los funcionarios, no puede probar quién está detrás de la operación.
«Nuestros pares de la industria han estado rastreando partes de esta actividad como impulsada por un solo actor de amenazas conocido como Earth Empusa, Evil Eye o PoisonCarp», Gleicher y Dvilyanski. escribir en una publicación de site en el ataque. La investigación de Fb ha confirmado que la actividad que ha interrumpido hasta ahora se alinea estrechamente con las dos primeras. Si bien PoisonCarp comparte algunas de las técnicas, su análisis muestra que este es un grupo de actividad separado.
Fb ha bloqueado el uso compartido de estos dominios maliciosos en su plataforma, eliminó las cuentas falsas del grupo de ataque y notificó a las personas que se cree que son el objetivo. Hoy comparte sus hallazgos para expandir los esfuerzos de interrupción, ya que espera que los ataques continúen.
«Vimos que esta actividad se desaceleró en varios momentos, probablemente en respuesta a nuestras acciones y a las de otras empresas para interrumpir su actividad», afirma la publicación.
Kelly Sheridan es la editora de personalized de Darkish Reading through, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa
Lectura recomendada:
Más información
