Mới đây, công ty Meta tiết lộ họ đã hành động chống lại hai hoạt động gián điệp ở Nam Á đã tận dụng các nền tảng truyền thông xã hội của mình để phát tán phần mềm độc hại cho các mục tiêu tiềm năng.
Bitter APT
Nhóm hoạt động đầu tiên được Meta mô tả là "bền bỉ và có nguồn lực tốt" được thực hiện bởi một nhóm hacker với biệt danh Bitter APT (còn gọi là APT-C-08 hoặc T-APT-17) nhắm vào các cá nhân ở New Zealand, Ấn Độ, Pakistan và Vương quốc Anh.
"Bitter APT đã sử dụng nhiều chiến thuật độc hại khác nhau để nhắm mục tiêu vào những người trực tuyến và lây nhiễm phần mềm độc hại vào thiết bị của họ", Meta cho biết trong Báo cáo Đe dọa Đối thủ Hàng quý của mình.
"Họ đã sử dụng kết hợp các dịch vụ rút gọn link liên kết, tên miền độc hại, trang web bị xâm nhập và nhà cung cấp dịch vụ lưu trữ bên thứ ba để phân phối phần mềm độc hại của họ." Các cuộc tấn công liên quan đến việc kẻ đe dọa tạo ra các nhân vật hư cấu trên nền tảng, giả dạng là những phụ nữ trẻ hấp dẫn nhằm tạo niềm tin với các mục tiêu và dụ họ nhấp vào các liên kết không có thật đã chứa phần mềm độc hại. Những kẻ tấn công đã thuyết phục nạn nhân tải ứng dụng trò chuyện iOS thông qua Apple TestFlight , một dịch vụ trực tuyến hợp pháp có thể được sử dụng cho các ứng dụng thử nghiệm beta và cung cấp phản hồi cho các nhà phát triển ứng dụng. Điều này có nghĩa là tin tặc không cần phải dựa vào khai thác để phân phối phần mềm độc hại tùy chỉnh đến các mục tiêu. Họ có thể sử dụng các dịch vụ chính thức của Apple để phân phối ứng dụng nhằm làm cho ứng dụng có vẻ hợp pháp hơn, miễn là họ thuyết phục được mọi người tải Apple Testflight. Các nhà nghiên cứu cho biết họ đã lừa người dùng cài đặt ứng dụng trò chuyện của họ. Mặc dù chức năng chính xác của ứng dụng vẫn chưa được xác định, nhưng nó bị nghi ngờ đã được sử dụng như một mưu đồ kỹ thuật xã hội để giám sát các nạn nhân của chiến dịch thông qua một phương tiện trò chuyện được xây dựng riêng cho mục đích này. Ngoài ra, các nhà điều hành Bitter APT đã sử dụng phần mềm độc hại Android không có giấy tờ trước đây có tên là Dracarys, phần mềm độc hại này lạm dụng quyền truy cập của hệ điều hành để cài đặt các ứng dụng tùy ý, ghi âm, chụp ảnh và thu thập dữ liệu nhạy cảm từ điện thoại bị nhiễm như: nhật ký cuộc gọi, danh bạ, tệp, tin nhắn văn bản, vị trí địa lý và thông tin thiết bị. Dracarys được phân phối thông qua các ứng dụng nhỏ giọt trojan như: YouTube, Signal, Telegram và WhatsApp, tiếp tục xu hướng những kẻ tấn công triển khai phần mềm độc hại giả dạng phần mềm hợp pháp để xâm nhập vào thiết bị di động. Hơn nữa, trong một dấu hiệu của sự thích nghi với tin tặc, Meta cho biết họ đã chống lại các nỗ lực phát hiện và biện pháp ngăn chặn của mình bằng cách đăng các liên kết bị hỏng hoặc hình ảnh về các liên kết độc hại trên chuỗi trò chuyện, yêu cầu người nhận phải nhập liên kết vào trình duyệt của họ. Nguồn gốc của Bitter vẫn là một ẩn số, không có nhiều thông tin có sẵn để kết luận nó với một quốc gia cụ thể nào. Nó được cho là hoạt động ngoài Nam Á và gần đây đã mở rộng trọng tâm tấn công các thực thể quân sự ở Bangladesh.
Nhóm APT36
Nhóm hoạt động thứ hai bị Meta phá vỡ là Bộ lạc minh bạch (hay còn gọi là APT36), một mối đe dọa dai dẳng tiên tiến được cho là có trụ sở bên ngoài Pakistan và có thành tích nhắm vào các cơ quan chính phủ ở Ấn Độ và Afghanistan bằng các công cụ độc hại được đặt riêng. Tháng trước, Cisco Talos đã quy cho một nam diễn viên tham gia một chiến dịch lừa đảo đang diễn ra nhắm vào sinh viên tại các cơ sở giáo dục khác nhau ở Ấn Độ, đánh dấu sự rời bỏ mô hình nạn nhân điển hình của nó để bao gồm người dùng dân sự. Các cuộc xâm nhập mới nhất cho thấy một sự hợp nhất, bao gồm quân nhân, quan chức chính phủ, nhân viên nhân quyền, các tổ chức phi lợi nhuận khác và sinh viên ở Afghanistan, Ấn Độ, Pakistan, Ả Rập Xê Út và UAE. Các mục tiêu được thiết kế trên mạng xã hội bằng cách
đóng giả làm nhà tuyển dụng cho các công ty hợp pháp hoặc giả mạo quân nhân, các phụ nữ trẻ hấp dẫn muốn tạo mối quan hệ lãng mạn, nhằm lôi kéo họ mở các liên kết lưu trữ phần mềm độc hại. Các tệp đã tải xuống chứa LazaSpy, một phiên bản sửa đổi của phần mềm giám sát nguồn mở Android có tên là XploitSPY, đồng thời sử dụng các ứng dụng sao chép WhatsApp, WeChat và YouTube không chính thức để cung cấp một phần mềm độc hại khác được gọi là Mobzsar (hay còn gọi là CapraSpy). Cả hai phần mềm độc hại đều đi kèm với các tính năng thu thập nhật ký cuộc gọi, danh bạ, tệp, tin nhắn văn bản, vị trí địa lý, thông tin thiết bị, hình ảnh, cũng như kích hoạt micrô của thiết bị, biến chúng thành công cụ giám sát hiệu quả. Các nhà nghiên cứu cho biết:
“Tác nhân gây ra mối đe dọa này là một ví dụ điển hình về xu hướng toàn cầu, nơi các nhóm có độ tinh vi thấp chọn dựa vào các công cụ độc hại công khai, thay vì đầu tư vào việc phát triển hoặc mua các khả năng tấn công tinh vi”. Công ty Meta cho biết:
"Các công cụ cơ bản chi phí thấp này đòi hỏi ít chuyên môn kỹ thuật hơn để triển khai, nhưng vẫn mang lại kết quả cho những kẻ tấn công. Nó dân chủ hóa quyền truy cập vào khả năng tấn công và giám sát khi hàng rào xâm nhập trở nên thấp hơn".