Facebook powstrzymał irańską grupę APT
Facebook poinformował o blokadzie kont prowadzonych przez grupę APT o nazwie Tortoiseshell. Hakerzy próbowali działać na szkodę między innymi pracowników służb obronnych USA
Facebook odkrył, że grupa hakerów z Iranu zaatakowała wybrane cele w Stanach Zjednoczonych, wykorzystując platformę mediów społecznościowych do rozpowszechniania złośliwego oprogramowania i prowadzenia operacji szpiegowskich. Grupa jest znana w branży pod nazwą Tortoiseshell, a wcześniej skupiała swoją uwagę na Bliskim Wschodzie. Dochodzenie przeprowadzone przez Facebooka wykazało, że celem grupy APT był personel wojskowy i firmy z branży obronnej i lotniczej, głównie w Stanach Zjednoczonych oraz w mniejszym stopniu w Wielkiej Brytanii i Europie. Cyberprzestępcy stosowali różne złośliwe taktyki, aby identyfikować swoje cele i infekować urządzenia złośliwym oprogramowaniem.
Grupa zbudowała i wdrożyła złożone fałszywe profile, aby oszukać potencjalne ofiary. Często podszywały się one pod rekruterów i pracowników firm obronnych i kosmicznych lub z dziedziny hotelarstwa, medycyny, dziennikarstwa, organizacji pozarządowych i linii lotniczych. Tortoiseshell posiada również wiele fałszywych stron internetowych pozorujących firmy z branży obronnej, a nawet legalną witrynę z ofertami pracy Departamentu Pracy Stanów Zjednoczonych.
Choć wiele działań Facebooka związanych z blokowaniem kont budziło wiele kontrowersji, to jednak działania wymierzone przeciwko grupie APT są uzasadnione. Serwisy społecznościowe powinny zapobiegać działaniom cyberprzestępców, a szczególnie w takich przypadkach, kiedy zagrożone są organy państwa - mówi Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.
Należy dodać, że Tortoiseshell używała w pełni funkcjonalnych trojanów zdalnego dostępu, programów do rozpoznawania urządzeń i sieci oraz rejestratorów naciśnięć klawiszy. Grupa rozwijała również swoje złośliwe oprogramowanie dla systemu Windows znane jako Syskit. Napastnicy posługiwali się malwarem stworzonym przez specjalne grupy w tym Mahak Rayan Afraz (MRA), firmę informatyczną z Teheranu powiązaną z Korpusem Strażników Rewolucji Islamskiej (IRGC).
WHITE-MAGICK/KG