【新闻宅急便】Facebook对中共国黑客动手

翻译:喜马拉雅东京樱花团 /Porsche


图片链接

Facebook的威胁情报分析师和安全专家致力于发现和阻止各种威胁,包括网络间谍活动、有影響力的行动、以及国家级人员和其他团体对我们平台的黑客攻击。作为这些努力的一部分,我们的团队经常通过禁用对手的行动来阻止他们,同时向用户公开分享我们所发现的异常现象,通知用户是否应该采取措施保护他们的帐户,以继续改进我们产品的安全性。

今天,我们要分享的是针对中共国的一群黑客采取的行动,通过此次行动,我们破坏了他们滥用我们的平台、分发恶意软件和在互联网上入侵人们账户的能力。这些黑客在安全行业被称为Earth Empusa或Evil Eye。他们的目标是主要居住在土耳其、哈萨克斯坦、美国、叙利亚、澳大利亚、加拿大等国外的中国新疆维吾尔族中的活动家、记者和持不同政见者。该团伙利用各种网络间谍手段确定目标,利用恶意软件感染他们的设备,以便进行监控。

这种活动具有资源充足和持续行动的特点,同时混淆了谁是幕后黑手。在我们的平台上,这种网络间谍活动主要表现为发送恶意网站的链接,而不是直接分享恶意软件本身。我们看到这种活动在不同时期有所放缓,很可能只是为了应对我们和其他公司所采取的行动。

我们发现这种威胁行为者在互联网上使用的战术、技术和程序(TTP)如下:

•   选择性目标和漏洞利用保护。这个组织采取了一些措施来隐藏他们的活动和保护他们作恶的工具,只有当人们通过了某些技术检查,包括IP地址、操作系统、浏览器、国家和语言设置时,他们才会感染iOS恶意软件。

•   篡改和冒充新闻网站。该团伙建立了恶意网站,使用与流行的维吾尔族和土耳其新闻网站相似的域名。他们似乎还入侵了目标经常访问的合法网站,作为水坑攻击的一部分。水坑攻击是指黑客感染预定目标经常访问的网站,以损害其设备。这些网页中的一些网页包含与之前报道的漏洞相似的恶意javascript代码,一旦人们的设备被入侵,就会在设备上安装名为INSOMNIA的iOS恶意软件。

•   社会工程。该组织在Facebook上使用假账户,创建虚构的角色,冒充记者、学生、人权倡导者或维吾尔族社区成员,以建立与目标人群的信任,诱使他们点击恶意链接。

•   使用虚假的第三方应用商店。我们发现该团伙的网站在模仿第三方安卓应用商店,在那里发布维吾尔族主题的应用,包括键盘应用、祈祷应用和字典应用。这些应用被木马化(含有恶意软件,误导人们的真实意图),有两种安卓恶意软件菌株——ActionSpy或PluginPhantom。

•   外包恶意软件开发。我们观察到这个组织使用了几个不同的Android恶意软件系列。具体来说,我们调查和恶意软件分析发现,北京百思联科技有限公司(Best United Technology Co. (Best Lh)和大连9Rush科技有限公司(9Rush),这这两家中国公司是该团伙部署的部分Android工具的幕后开发者。我们能够对其中一家公司作出评估,是因为得益于网络安全公司FireEye的研究。这些位于中国的公司很可能是一个庞大的供应商网络的一部分,它们的运营安全程度各不相同。

•    行业追踪。我们的行业同行在追踪这些活动时发现,他们是由一个单一的威胁行为体驱动的,这个威胁行为体被广泛地称为Earth Empusa,或者Evil Eye,或者PoisonCarp。我们的调查证实,我们今天所破坏的活动与前两者,Earth Empusa或Evil Eye,密切相关。虽然PoisonCarp共享一些TTP,包括针对和使用一些相同的供应商开发的恶意软件,但我们的平台分析表明,它是一个单独的活动集群。

我们与业界同行分享了我们的发现和威胁指标,以便他们也能检测和阻止这种活动。为了破坏这一行动,我们阻止了恶意域名在我们的平台上共享,下架了该群组的账户,并通知了我们认为是该威胁行为者目标的用户。

英文新闻来源

免责申明:本文只代表作者观点,与GNews网站无关。

校对:喜马拉雅东京樱花团 / 東洋武士
责任编辑:喜马拉雅东京樱花团 / 文小白
发布:喜马拉雅东京樱花团 / 煙火1095

0325C179e

+7
0 评论
Inline Feedbacks
View all comments