Nové Dillí, 5. srpna (IANS) Meta (dříve Facebook) zasáhla proti kybernetické špionážní operaci spojené se státem podporovanými zlými aktéry v Pákistánu, která se zaměřovala na lidi v Indii, včetně vojenských a vládních úředníků, pomocí různých metod, jako je odchyt medu a infiltrace malwaru do jejich zařízení.
Kromě Indie se hackerská skupina v Pákistánu – známá v bezpečnostním průmyslu jako APT36 – podle čtvrtletní zprávy zaměřila na lidi v Afghánistánu, Pákistánu, Spojených arabských emirátech a Saúdské Arábii.„Adversarial Threat Report“ od společnosti Meta.
"Naše vyšetřování spojilo tuto činnost s aktéry napojenými na stát v Pákistánu," řekla Meta.
Činnost skupiny byla vytrvalá a zaměřovala se na mnoho služeb na internetu, od poskytovatelů e-mailu přes služby hostování souborů až po sociální média.
„APT36 používal různé škodlivé taktiky k cílení na lidi online pomocí sociálního inženýrství, aby infikoval jejich zařízení malwarem. Používali směs škodlivých a maskovaných odkazů a falešných aplikací k distribuci svého malwaru zaměřeného na zařízení Android a Windows,“ varovala sociální síť. .
APT36 používal fiktivní postavy – vydávající se za náboráře pro legitimní a falešné společnosti, vojenský personál nebo atraktivní mladé ženy, které chtějí navázat romantický vztah – ve snaze vybudovat si důvěru s cílovými osobami.
Skupina nasadila širokou škálu taktik, včetně použití vlastní infrastruktury, aby šířila svůj malware.
„Některé z těchto domén se vydávaly za webové stránky pro sdílení fotografií nebo obchody s obecnými aplikacemi, zatímco jiné za skutečné obchodní domény, jako je Obchod Google Play, Microsoft OneDrive a Disk Google,“ uvádí zpráva Meta.
Tato skupina navíc používala běžné služby pro sdílení souborů, jako je WeTransfer, k hostování malwaru na krátkou dobu.
Aktéři sídlící v Pákistánu také používali služby zkracování odkazů k maskování škodlivých adres URL.
Použili sociální mapy a stránky s náhledy – online nástroje používané v marketingu k přizpůsobení obrázku zobrazeného při sdílení konkrétní adresy URL na sociálních sítích – ke skrytí přesměrování a vlastnictví domén ovládaných APT36.
"APT36 přímo nesdílel malware na našich platformách, ale místo toho použil taktiku sdílení škodlivých odkazů na stránky, které ovládali a kde hostili malware," řekl Meta.
V několika případech tato skupina používala upravenou verzi Android malwaru známou jako „XploitSPY“ dostupnou na Github.
Zatímco se zdá, že „XploitSPY“ byl původně vyvinut skupinou samozřejmých etických hackerů v Indii, APT36 jej upravil, aby vytvořil novou variantu malwaru nazvanou „LazaSpy“.
Meta zjistila, že v této nedávné operaci měl APT36 také trojanizované (neoficiální) verze WhatsApp, WeChat a YouTube s další rodinou malwaru známou jako Mobzsar nebo CapraSpy.
„Obě rodiny malwaru mají přístup k protokolům hovorů, kontaktům, souborům, textovým zprávám, geolokaci, informacím o zařízení, fotografiím a aktivaci mikrofonu,“ uvádí zpráva.
Meta také odstranila síť brigád v Indii, síť pro hromadné hlášení v Indonésii a koordinovala sítě porušování v Řecku, Indii a Jižní Africe.
Brigadýr je technika, kde se skupiny lidí koordinují, aby obtěžovali lidi na platformách Meta ve snaze je zastrašit a umlčet.
