Бесплатно Экспресс-аудит сайта:

26.03.2021

Китайские кибершпионы атакуют пользователей Facebook

ИБ-эксперты Facebook рассказали о китайской хакерской группировкой Earth Empusa (другое название Evil Eye), проводившей вредоносные операции с использованием платформы Facebook.

По словам специалистов, группировка атаковала активистов, журналистов и диссидентов, являющихся выходцами из Синьцзян-Уйгурского автономного района Китая и проживающих в Турции, Казахстане, США, Сирии, Канаде и Австралии. Злоумышленники использовали целый ряд приемов кибершпионажа для выявления жертв и заражения их устройств вредоносным ПО для слежения.

Проводимые Earth Empusa вредоносные операции имели отличительные черты: хорошее финансирование, тщательное проведение и сокрытие источников. Хакеры использовали Facebook в первую очередь для распространения ссылок на вредоносные сайты, а не самого вредоносного ПО. Периодически эти операции приостанавливались в ответ на контрмеры, предпринимаемые как самой Facebook, так и другими компаниями.

Специалисты выявили следующие тактики, техники и процедуры (TTP), использовавшиеся группировкой:

  • Выборочный таргетинг и защита эксплоитов: хакеры тщательно скрывали свою деятельность и защищали эксплоиты, заражая вредоносным ПО для iOS только пользователей, соответствующих определенным техническим критериям (IP-адреса, ОС, браузер, страна и настройки языка);

  • Компрометация и подделка новостных сайтов: злоумышленники подделывали домены популярных уйгурских и турецких новостных сайтов. Они также взломали часто посещаемые жертвами легитимные ресурсы в рамках атак watering hole. Некоторые из этих страниц содержали вредоносный Javascript-код, напоминающий уже известные эксплоиты, которые устанавливают вредоносное ПО для iOS под названием INSOMNIA;

  • Социальная инженерия: группировка подделывала учетные записи в соцсети Facebook, якобы принадлежавшие журналистам, активистам, правозащитникам;

  • Использование сторонних магазинов приложений: злоумышленники создали как минимум один поддельный магазин Android-приложений, через которые распространяли приложения, содержащие вредоносное ПО ActionSpy или PluginPhantom;

  • Аутсорсинг разработки вредоносного ПО: группировка использовала несколько семейств вредоносного ПО, созданных разными разработчиками.