Facebook a anunţat joi (15.07.2021) că a eliminat aproximativ 200 de conturi ale unui grup de hackeri din Iran care desfăşurau o operaţiune de spionaj cibernetic împotriva personalul militar american şi a unor persoane care lucrau în companii de apărare şi aerospaţiale, transmite Reuters.
Gigantul reţelei de socializare a declarat că grupul, supranumit „Tortoiseshell” de către experţi în securitate, a folosit identităţi false pentru a se conecta cu persoanele vizate, pentru a le câştiga încrederea, uneori pe parcursul mai multor luni, şi pentru a le conduce pe alte site-uri unde au fost păcălite să acceseze linkuri, infectându-şi dispozitivele cu malware pentru spionaj.
„Această activitate a avut semnele distinctive ale unei operaţiuni cu resurse şi persistente, bazându-se în acelaşi timp pe măsuri de securitate operaţională relativ puternice, pentru a ascunde cine se află în spatele ei”, a declarat echipa de investigaţii a Facebook într-o postare pe blog.
Grupul a făcut ca profilurile fictive de pe mai multe platforme de socializare să pară mai credibile pretinzând deseori că sunt recrutori sau angajaţi ai unor companii aerospaţiale şi de apărare. Reţeaua de socializare LinkedIn, deţinută de Microsoft, a declarat că a eliminat o serie de conturi, iar Twitter a declarat că „investighează activ” informaţiile din raportul Facebook.
Potrivit Facebook, grupul a folosit servicii de e-mail, mesagerie şi de colaborare pentru a distribui programele malware, inclusiv prin intermediul foilor de calcul Microsoft Excel. Un purtător de cuvânt al Microsoft a afirmat într-un comunicat că este conştient şi urmăreşte acest grup şi că ia măsuri atunci când detectează activităţi dăunătoare.
Hackerii au folosit, de asemenea, domenii personalizate pentru a-şi atrage ţintele, a spus Facebook, inclusiv site-uri false de recrutare pentru companii de apărare, şi a creat o infrastructură online care falsifica un site de căutare de locuri de muncă legitim pentru Departamentul Muncii din SUA.
Facebook a declarat că hackerii au vizat în principal persoane din Statele Unite, precum şi din Regatul Unit şi Europa, într-o campanie desfăşurată începând cu 2020. Acesta a refuzat să numească companiile ai căror angajaţi au fost vizaţi, dar şeful său pentru spionaj cibernetic, Mike Dvilyanski, a spus că a notificat „mai puţin de 200 de persoane” care au fost vizate.
Campania păre să arate o extindere a activităţii grupului, despre care anterior s-a scris că se concentra mai ales pe I.T. şi alte industrii din Orientul Mijlociu, a spus Facebook. Ancheta a constatat că o parte din malware-ul folosit de grup a fost dezvoltat de Mahak Rayan Afraz (MRA), o companie de IT cu sediul la Teheran care are legături cu Gărzile Revoluţionare Islamice (IRGC).
Presupusa legătură a MRA cu spionajul cibernetic al statului iranian nu este nouă. Anul trecut, compania de securitate cibernetică Recorded Future a afirmat că MRA este unul dintre contractorii suspectaţi că ar servi forţa de elită Quds a IRGC.
Sursă foto: reuters.com
