Facebook утверждает, что иранские хакеры использовали сайт для слежки за военнослужащими США

Источник · Перевод автора

Заблокировано около 200 аккаунтов.

Facebook заявил в четверг, что заблокировал около 200 учетных записей, которыми управляла группа хакеров в Иране, в рамках операции кибершпионажа, нацеленной в основном на военнослужащих США и людей, работающих в оборонных и аэрокосмических компаниях.

Гигант социальных сетей заявил, что группа, которую эксперты по безопасности окрестили «черепаховой оболочкой», использовала поддельных онлайн-персонажей для связи с целями, иногда в течение нескольких месяцев укрепляла доверие и перенаправляла их на другие сайты, где их обманом заставляли нажимать вредоносные ссылки, которые могли бы заразить свои устройства шпионским вредоносным ПО.

«Эта деятельность имела признаки хорошо обеспеченной ресурсами и настойчивой операции, при этом полагаясь на относительно сильные меры оперативной безопасности, чтобы скрыть, кто за ней стоит», – говорится в сообщении в блоге следственной группы Facebook.

Группа, как сообщила Facebook, создавала фиктивные профили на нескольких платформах социальных сетей, чтобы они выглядели более убедительными, часто выдавая себя за вербовщиков или сотрудников аэрокосмических и оборонных компаний.

LinkedIn, принадлежащая Microsoft, заявила, что удалила несколько учетных записей, а Twitter заявил, что «активно исследует» информацию, содержащуюся в отчете Facebook.

Facebook заявила, что группа использовала электронную почту, службы обмена сообщениями и совместной работы для распространения вредоносного ПО, в том числе с помощью вредоносных электронных таблиц Microsoft Excel.

Представитель Microsoft заявил в заявлении, что он знает об этом актере и отслеживает его, и что он принимает меры при обнаружении вредоносной активности.

Google из Alphabet Inc заявил, что обнаружил и заблокировал фишинг в Gmail и предупредил своих пользователей.

Приложение для обмена сообщениями на рабочем месте Slack заявило, что оно действовало, чтобы уничтожить хакеров, которые использовали сайт для социальной инженерии, и закрыть все рабочие пространства, которые нарушали его правила.

По словам Facebook, хакеры также использовали специализированные домены для привлечения своих целей, в том числе поддельные веб-сайты по найму для оборонных компаний, и создали онлайн-инфраструктуру, которая подделывала законный веб-сайт поиска работы для Министерства труда США.

Facebook заявил, что хакеры в основном нацелены на людей в Соединенных Штатах, а также некоторых в Великобритании и Европе в рамках кампании, проводимой с середины 2020 года.

Он отказался назвать компании, чьи сотрудники стали жертвами нападений, но глава отдела кибершпионажа Майк Двилянски заявил, что уведомляет «менее 200 человек», ставших объектами нападения.

Кампания, похоже, показала расширение деятельности группы, которая, как сообщалось, была сосредоточена в основном на ИТ и других отраслях на Ближнем Востоке, сообщает Facebook.

Расследование показало, что часть вредоносного ПО, используемого группой, была разработана Mahak Rayan Afraz, ИТ-компанией, базирующейся в Тегеране и связанной с Корпусом стражей исламской революции.

Reuters не смог сразу найти контактную информацию Махака Райана Афраза, а бывшие сотрудники фирмы не сразу ответили на сообщения, отправленные через LinkedIn.

Миссия Ирана при ООН в Нью-Йорке не сразу ответила на запрос о комментарии.

Предполагаемая связь MRA с иранским государственным кибершпионажем не нова.

В прошлом году компания по кибербезопасности Recorded Future заявила, что MRA было одним из нескольких подрядчиков, подозреваемых в обслуживании элитных сил Кудс КСИР.

Шпионы иранского правительства – как и другие шпионские службы – давно подозреваются в том, что они передают свою миссию множеству местных подрядчиков.

Facebook заявил, что заблокировал распространение вредоносных доменов, а Google заявил, что добавил домены в свой «черный список».