Meta descobre grandes operações de ciberespionagem em mídias sociais em toda a sul da Ásia
4 de Maio de 2023

Três grupos de ameaças diferentes usaram centenas de personas fictícias elaboradas no Facebook e Instagram para atacar indivíduos localizados no sul da Ásia como parte de ataques diversos.

"Cada um desses APTs dependeu muito da engenharia social para enganar as pessoas a clicar em links maliciosos, baixar malware ou compartilhar informações pessoais pela internet", disse Guy Rosen, diretor de segurança da informação da Meta.

"Esse investimento em engenharia social significou que esses grupos de ameaças não precisaram investir tanto no lado do malware." As contas falsas, além de usarem iscas tradicionais como mulheres procurando conexões românticas, se passavam por recrutadores, jornalistas ou militares.

Pelo menos dois dos esforços de espionagem cibernética envolveram o uso de malware de baixa sofisticação com capacidades reduzidas, provavelmente na tentativa de passar por verificações de verificação de aplicativos estabelecidas pela Apple e Google.


Um dos grupos que chamou a atenção da Meta é um grupo de ameaças persistentes avançadas (APT) baseado no Paquistão que dependeu de uma rede de contas falsas, aplicativos e sites para infectar militares na Índia e na Força Aérea do Paquistão com o GravityRAT sob o disfarce de aplicativos de armazenamento em nuvem e entretenimento.

A empresa também eliminou 110 contas no Facebook e Instagram ligadas a um APT identificado como Bahamut que visava pessoas na Índia e no Paquistão com malware Android publicado na Google Play Store.

Os aplicativos, que se passavam por aplicativos de bate-papo seguros ou VPN, foram removidos desde então.

Por fim, a Meta eliminou 50 contas no Facebook e Instagram ligadas a um ator de ameaça com base na Índia apelidado de Patchwork, que aproveitou aplicativos maliciosos carregados na Play Store para coletar dados de vítimas no Paquistão, Índia, Bangladesh, Sri Lanka, Tibete e China.

Também foram interrompidas pela Meta seis redes adversárias dos EUA, Venezuela, Irã, China, Geórgia, Burkina Faso e Togo que se envolveram no que chamou de "comportamento inautêntico coordenado" no Facebook e outras plataformas de mídia social como Twitter, Telegram, YouTube, Medium, TikTok, Blogspot, Reddit e WordPress.

Todas essas redes geograficamente dispersas teriam criado marcas fraudulentas de mídia de notícias, grupos hacktivistas e ONGs para construir credibilidade, sendo que três delas estavam ligadas a uma empresa de marketing baseada nos EUA chamada Predictvia, uma consultoria de marketing político em Togo conhecida como Groupe Panafricain pour le Commerce et l'Investissement (GPCI), e o Departamento de Comunicações Estratégicas da Geórgia.

Duas redes originárias da China operavam dezenas de contas, páginas e grupos fraudulentos no Facebook e Instagram para atingir usuários na Índia, Tibete, Taiwan, Japão e a comunidade Uyghur.

Em ambos os casos, a Meta disse ter derrubado as atividades antes que pudessem "construir uma audiência" em seus serviços, acrescentando que encontrou associações conectando uma rede a indivíduos associados a uma empresa de TI chinesa referida como Xi'an Tianwendian Network Technology.

A rede do Irã, segundo a gigante das redes sociais, visava principalmente Israel, Bahrein e França, corroborando uma avaliação anterior da Microsoft sobre o envolvimento do Irã no hackeamento da revista satírica francesa Charlie Hebdo em janeiro de 2023.

"As pessoas por trás dessa rede usaram contas falsas para postar, curtir e compartilhar seu próprio conteúdo para fazê-lo parecer mais popular do que era, além de gerenciar páginas e grupos posando como equipes hacktivistas", disse a Meta.

"Eles também curtiram e compartilharam as postagens de outras pessoas sobre tópicos de segurança cibernética, provavelmente para tornar as contas falsas mais credíveis."

A divulgação também coincide com um novo relatório da Microsoft, que revelou que atores alinhados ao estado iraniano estão cada vez mais recorrendo a operações de influência cibernética para "aumentar, exagerar ou compensar deficiências em sua rede de acesso ou capacidades de ataque cibernético" desde junho de 2022.

O governo iraniano foi ligado pela Redmond a 24 dessas operações em 2022, ante sete em 2021, incluindo clusters rastreados como Moses Staff, Homeland Justice, Abraham's Ax, Holy Souls e DarkBit.

Dezessete das operações ocorreram desde junho de 2022.

O fabricante do Windows disse ainda que observou "múltiplos atores iranianos tentando usar mensagens de SMS em massa em três casos na segunda metade de 2022, provavelmente para aumentar a amplificação e os efeitos psicológicos de suas operações de influência cibernética".

A mudança de tática também é caracterizada pela rápida exploração de falhas de segurança conhecidas, uso de sites de vítima para o controle de comando e controle e adoção de implantes personalizados para evitar detecção e roubar informações das vítimas.

As operações, que visaram Israel e os EUA como retaliação por supostamente fomentar a agitação no país, buscaram fortalecer a resistência palestina, instigar agitação no Bahrein e contrariar a normalização das relações árabe-israelenses.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...