【新聞宅急便】Facebook對中共國黑客動手

翻譯:喜馬拉雅東京櫻花團 /Porsche


圖片鏈接

Facebook的威脅情報分析師和安全專家致力於發現和阻止各種威脅,包括網絡間諜活動、有影響力的行動、以及國家級人員和其他團體對我們平臺的黑客攻擊。作為這些努力的一部分,我們的團隊經常通過禁用對手的行動來阻止他們,同時向用戶公開分享我們所發現的異常現象,通知用戶是否應該采取措施保護他們的帳戶,以繼續改進我們產品的安全性。

今天,我們要分享的是針對中共國的一群黑客采取的行動,通過此次行動,我們破壞了他們濫用我們的平臺、分發惡意軟件和在互聯網上入侵人們賬戶的能力。這些黑客在安全行業被稱為Earth Empusa或Evil Eye。他們的目標是主要居住在土耳其、哈薩克斯坦、美國、敘利亞、澳大利亞、加拿大等國外的中國新疆維吾爾族中的活動家、記者和持不同政見者。該團夥利用各種網絡間諜手段確定目標,利用惡意軟件感染他們的設備,以便進行監控。

這種活動具有資源充足和持續行動的特點,同時混淆了誰是幕後黑手。在我們的平臺上,這種網絡間諜活動主要表現為發送惡意網站的鏈接,而不是直接分享惡意軟件本身。我們看到這種活動在不同時期有所放緩,很可能只是為了應對我們和其他公司所采取的行動。

我們發現這種威脅行為者在互聯網上使用的戰術、技術和程序(TTP)如下:

• 選擇性目標和漏洞利用保護。這個組織采取了一些措施來隱藏他們的活動和保護他們作惡的工具,只有當人們通過了某些技術檢查,包括IP地址、操作系統、瀏覽器、國家和語言設置時,他們才會感染iOS惡意軟件。
• 篡改和冒充新聞網站。該團夥建立了惡意網站,使用與流行的維吾爾族和土耳其新聞網站相似的域名。他們似乎還入侵了目標經常訪問的合法網站,作為水坑攻擊的一部分。水坑攻擊是指黑客感染預定目標經常訪問的網站,以損害其設備。這些網頁中的一些網頁包含與之前報道的漏洞相似的惡意javascript代碼,一旦人們的設備被入侵,就會在設備上安裝名為INSOMNIA的iOS惡意軟件。
• 社會工程。該組織在Facebook上使用假賬戶,創建虛構的角色,冒充記者、學生、人權倡導者或維吾爾族社區成員,以建立與目標人群的信任,誘使他們點擊惡意鏈接。
• 使用虛假的第三方應用商店。我們發現該團夥的網站在模仿第三方安卓應用商店,在那裏發布維吾爾族主題的應用,包括鍵盤應用、祈禱應用和字典應用。這些應用被木馬化(含有惡意軟件,誤導人們的真實意圖),有兩種安卓惡意軟件菌株——ActionSpy或PluginPhantom。
• 外包惡意軟件開發。我們觀察到這個組織使用了幾個不同的Android惡意軟件系列。具體來說,我們調查和惡意軟件分析發現,北京百思聯科技有限公司(Best United Technology Co. (Best Lh)和大連9Rush科技有限公司(9Rush),這這兩家中國公司是該團夥部署的部分Android工具的幕後開發者。我們能夠對其中一家公司作出評估,是因為得益於網絡安全公司FireEye的研究。這些位於中國的公司很可能是一個龐大的供應商網絡的一部分,它們的運營安全程度各不相同。
• 行業追蹤。我們的行業同行在追蹤這些活動時發現,他們是由一個單一的威脅行為體驅動的,這個威脅行為體被廣泛地稱為Earth Empusa,或者Evil Eye,或者PoisonCarp。我們的調查證實,我們今天所破壞的活動與前兩者,Earth Empusa或Evil Eye,密切相關。雖然PoisonCarp共享一些TTP,包括針對和使用一些相同的供應商開發的惡意軟件,但我們的平臺分析表明,它是一個單獨的活動集群。

我們與業界同行分享了我們的發現和威脅指標,以便他們也能檢測和阻止這種活動。為了破壞這一行動,我們阻止了惡意域名在我們的平臺上共享,下架了該群組的賬戶,並通知了我們認為是該威脅行為者目標的用戶。

英文新聞來源

免責申明:本文只代表作者觀點,與GNews網站無關。

校對:喜馬拉雅東京櫻花團 / 東洋武士
責任編輯:喜馬拉雅東京櫻花團 / 文小白
發布:喜馬拉雅東京櫻花團 / 煙火1095

0325C179e

+1
1 Comment
Inline Feedbacks
View all comments
Sana2aus
15 天 前

Facebook 非死不可、帮CCP 干了太多下流坏事

0