Facebook hôm thứ Tư cho biết họ đã thực hiện các bước để loại bỏ các hoạt động độc hại do hai nhóm hack do nhà nước tài trợ hoạt động ngoài Palestine đã lạm dụng nền tảng của họ để phát tán phần mềm độc hại.
Gã khổng lồ truyền thông xã hội cho rằng các cuộc tấn công là do một mạng được kết nối với Dịch vụ An ninh Phòng ngừa (PSS), bộ máy an ninh của Nhà nước Palestine, và một tác nhân đe dọa khác được gọi là Arid Viper (hay còn gọi là Desert Falcon và APT-C-23), bộ máy sau này được cho là có liên quan đến cánh tay mạng của Hamas.
Hai chiến dịch gián điệp kỹ thuật số, hoạt động vào năm 2019 và 2020, đã khai thác một loạt thiết bị và nền tảng, chẳng hạn như Android, iOS và Windows, với nhóm PSS chủ yếu nhắm mục tiêu đến đối tượng trong nước ở Palestine. Một loạt các cuộc tấn công khác diễn ra sau khi người dùng ở các lãnh thổ Palestine và Syria và ở mức độ thấp hơn là Thổ Nhĩ Kỳ, Iraq, Lebanon và Libya.
Cả hai nhóm dường như đã tận dụng nền tảng này như một bàn đạp để khởi động nhiều cuộc tấn công kỹ thuật xã hội nhằm thu hút mọi người nhấp vào các liên kết độc hại và cài đặt phần mềm độc hại trên thiết bị của họ. Để làm gián đoạn hoạt động của đối thủ, Facebook cho biết họ đã gỡ tài khoản của họ, chặn các miền liên quan đến hoạt động của họ và cảnh báo những người dùng mà họ nghi ngờ đã bị các nhóm này chỉ ra để giúp họ bảo mật tài khoản của mình.
Phần mềm gián điệp Android trong các ứng dụng trò chuyện có vẻ ngoài lành tính
PSS được cho là đã sử dụng phần mềm độc hại Android tùy chỉnh được ngụy trang thành các ứng dụng trò chuyện an toàn để lén lút nắm bắt siêu dữ liệu của thiết bị, ghi lại các lần gõ phím và tải dữ liệu lên Firebase. Ngoài ra, nhóm đã triển khai một phần mềm độc hại Android khác có tên là SpyNote đi kèm với khả năng giám sát các cuộc gọi và truy cập từ xa vào các điện thoại bị xâm nhập.
Nhóm này đã sử dụng các tài khoản giả mạo và bị xâm nhập để tạo ra các nhân vật hư cấu, thường đóng giả là phụ nữ trẻ và cũng là những người ủng hộ Hamas, Fatah, các nhóm quân đội, nhà báo và nhà hoạt động khác nhau với mục đích xây dựng mối quan hệ với các mục tiêu và hướng dẫn họ đến các trang lừa đảo và các trang web độc hại khác.
“Kẻ đe dọa dai dẳng này tập trung vào nhiều mục tiêu, bao gồm các nhà báo, những người phản đối chính phủ do Fatah lãnh đạo, các nhà hoạt động nhân quyền và các nhóm quân sự bao gồm phe đối lập Syria và quân đội Iraq”, các nhà nghiên cứu của Facebook dẫn đầu cuộc điều tra gián điệp mạng nói.
Một Chiến dịch Gián điệp Tinh vi
Arid ViperMặt khác, đã được quan sát thấy tích hợp một phần mềm giám sát iOS tùy chỉnh mới có tên “Phenakite” trong các chiến dịch được nhắm mục tiêu của họ, mà Facebook ghi nhận có khả năng đánh cắp dữ liệu nhạy cảm của người dùng từ iPhone mà không cần bẻ khóa thiết bị trước khi thỏa hiệp. Phenakite được cung cấp cho người dùng dưới dạng một ứng dụng trò chuyện có đầy đủ chức năng nhưng được trojanized có tên MagicSmile được lưu trữ trên một trang web phát triển ứng dụng của bên thứ ba Trung Quốc sẽ lén lút chạy trong nền và lấy dữ liệu được lưu trữ trên điện thoại mà người dùng không hề hay biết.
Nhóm cũng duy trì một cơ sở hạ tầng khổng lồ bao gồm 179 tên miền được sử dụng để lưu trữ phần mềm độc hại hoặc hoạt động như các máy chủ ra lệnh và kiểm soát (C2).
“Nội dung thu hút và các nạn nhân đã biết cho thấy nhân khẩu học mục tiêu là các cá nhân liên kết với các nhóm ủng hộ Fatah, các tổ chức chính phủ Palestine, nhân viên quân sự và an ninh và các nhóm sinh viên ở Palestine”, các nhà nghiên cứu nói thêm.
Facebook nghi ngờ Arid Viper chỉ sử dụng phần mềm độc hại iOS trong một số ít trường hợp, cho thấy một hoạt động có mục tiêu cao, với các tin tặc liên kết với Hamas đồng thời tập trung vào một bộ ứng dụng phần mềm gián điệp đang phát triển dựa trên Android được tuyên bố là tạo điều kiện cho việc hẹn hò, kết nối mạng và khu vực ngân hàng ở Trung Đông, với kẻ thù che giấu phần mềm độc hại dưới dạng các bản cập nhật ứng dụng giả mạo cho các ứng dụng hợp pháp như WhatsApp.
Sau khi được cài đặt, phần mềm độc hại đã thúc giục nạn nhân tắt Google Play Protect và cấp quyền quản trị thiết bị ứng dụng, sử dụng quyền truy cập cố định để ghi âm cuộc gọi, chụp ảnh, âm thanh, video hoặc ảnh chụp màn hình, chặn tin nhắn, theo dõi vị trí thiết bị, truy xuất danh bạ, nhật ký cuộc gọi và chi tiết lịch, và thậm chí cả thông tin thông báo từ các ứng dụng nhắn tin như WhatsApp, Instagram, Imo, Viber và Skype.
Trong một nỗ lực để thêm một lớp xáo trộn bổ sung, phần mềm độc hại sau đó được phát hiện liên hệ với một số trang web do kẻ tấn công kiểm soát, do đó đã cung cấp cho máy chủ C2 cấy ghép dữ liệu vào máy chủ.
“Arid Viper gần đây đã mở rộng bộ công cụ tấn công của họ để bao gồm phần mềm độc hại iOS mà chúng tôi tin rằng đang được triển khai trong các cuộc tấn công có chủ đích chống lại các nhóm và cá nhân ủng hộ Fatah”, các nhà nghiên cứu của Facebook cho biết. “Vì mức độ tinh vi về công nghệ của Arid Viper có thể được coi là ở mức thấp đến trung bình, sự mở rộng khả năng này sẽ báo hiệu cho người phòng thủ rằng các đối thủ cấp thấp khác có thể đã sở hữu hoặc có thể nhanh chóng phát triển công cụ tương tự.”
