Facebook Çarşamba günü yaptığı açıklamada, Filistin dışında faaliyet gösteren ve kötü amaçlı yazılım dağıtmak için platformunu kötüye kullanan devlet destekli iki bilgisayar korsanlığı grubu tarafından gerçekleştirilen kötü niyetli faaliyetleri ortadan kaldırmak için adımlar attığını söyledi.
Sosyal medya devi, saldırıları Önleyici Güvenlik Servisi (PSS), Filistin Devleti'nin güvenlik aygıtı ve Arid Viper olarak bilinen başka bir tehdit aktörü (diğer adıyla Desert Falcon ve APT-C-23) ile bağlantılı bir ağa bağladı. ikincisinin Hamas'ın siber koluna bağlı olduğu iddia ediliyor.
2019 ve 2020'de aktif olan iki dijital casusluk kampanyası, öncelikle Filistin'deki yerel kitleleri hedefleyen PSS kümesiyle Android, iOS ve Windows gibi bir dizi cihaz ve platformu kullandı. Diğer saldırılar, Filistin topraklarındaki ve Suriye'deki ve daha az ölçüde Türkiye, Irak, Lübnan ve Libya'daki kullanıcıların peşine düştü.
Her iki grup da, insanları kötü amaçlı bağlantıları tıklamaya ve cihazlarına kötü amaçlı yazılım yüklemeye ikna etmek amacıyla çeşitli sosyal mühendislik saldırıları başlatmak için platformu bir sıçrama tahtası olarak kullanmış görünüyor. Düşman operasyonlarını aksatmak için Facebook, hesaplarını kaldırdığını, etkinlikleriyle ilişkili alan adlarını engellediğini ve hesaplarını güvenceye almalarına yardımcı olmak için bu gruplar tarafından seçildiğinden şüphelenilen kullanıcıları uyardı.
Sağlıklı Görünen Sohbet Uygulamalarında Android Casus Yazılımı
PSS'nin cihaz meta verilerini gizlice yakalamak, tuş vuruşlarını yakalamak ve verileri Firebase'e yüklemek için güvenli sohbet uygulamaları olarak gizlenmiş ve özel olarak oluşturulmuş Android kötü amaçlı yazılımları kullandığı söyleniyor. Buna ek olarak, grup, aramaları izleme ve tehlikeye atılan telefonlara uzaktan erişme yeteneği ile gelen SpyNote adlı başka bir Android kötü amaçlı yazılım kurdu.
Bu grup, hedeflerle ilişki kurmak ve onları kimlik avı sayfalarına yönlendirmek amacıyla, genellikle genç kadınlar ve ayrıca Hamas, El Fetih, çeşitli askeri gruplar, gazeteciler ve aktivistlerin destekçileri gibi görünen hayali karakterler oluşturmak için sahte ve tehlikeye atılmış hesapları kullandı.
Siber casusluk soruşturmalarına liderlik eden Facebook araştırmacıları, "Bu kalıcı tehdit aktörü, gazeteciler, El Fetih liderliğindeki hükümete muhalefet eden insanlar, insan hakları aktivistleri ve Suriye muhalefeti ve Irak ordusu dahil askeri gruplar da dahil olmak üzere çok çeşitli hedeflere odaklandı" dedi.
Sofistike Bir Casusluk Kampanyası
Öte yandan Arid Viper'ın, hedeflenen kampanyalarına "Phenakite" adlı yeni bir özel iOS gözetim yazılımı dahil ettiği ve Facebook'un, güvenlik ihlali öncesinde cihazları jailbreak yapmadan iPhone'lardan hassas kullanıcı verilerini çalabildiğini belirttiği gözlemlendi. Phenakite, kullanıcılara, arka planda gizlice çalışan ve kullanıcının bilgisi olmadan telefonda depolanan verileri toplayan bir üçüncü taraf Çin uygulama geliştirme sitesinde barındırılan MagicSmile adlı tamamen işlevsel ancak truva atı haline getirilmiş bir sohbet uygulaması biçiminde teslim edildi.
Grup ayrıca, kötü amaçlı yazılımları barındırmak için kullanılan veya komuta ve kontrol (C2) sunucuları olarak işlev gören 179 etki alanından oluşan devasa bir altyapıya sahip.
Araştırmacılar, "Hedef demografinin El Fetih yanlısı gruplar, Filistin hükümet örgütleri, askeri ve güvenlik personeli ve Filistin'deki öğrenci grupları ile ilişkili bireyler olduğunu gösteriyor dedi.
Facebook, Arid Viper'ın iOS kötü amaçlı yazılımını yalnızca bir avuç vakada kullandığından şüpheleniyor ve Hamas bağlantılı bilgisayar korsanlarının eşzamanlı olarak buluşmayı, ağ oluşturmayı ve bölgeyi kolaylaştırdığını iddia eden gelişmekte olan bir dizi Android tabanlı casus yazılım uygulamasına odaklanıyorlar.
Kötü amaçlı yazılım yüklendikten sonra kurbanları Google Play Protect'i devre dışı bırakmaya ve yerleşik erişimi kullanarak aramaları kaydetmek, fotoğraf, ses, video veya ekran görüntüleri yakalamak, mesajları yakalamak, cihaz konumunu izlemek, kişileri almak, arama günlüklerini almak için uygulama cihaz yöneticisi izinleri vermeye ve takvim ayrıntıları ve hatta WhatsApp, Instagram, Imo, Viber ve Skype gibi mesajlaşma uygulamalarından gelen bildirim bilgileri alabilmek gibi erişimlere sahip olabiliyor.
Facebook araştırmacıları, "Arid Viper kısa süre önce, el Fetih yanlısı gruplara ve bireylere yönelik hedefli saldırılarda kullanıldığına inandığımız iOS kötü amaçlı yazılımını içerecek şekilde saldırı araç setini genişletti" dedi.
"Arid Viper'ın teknolojik gelişmişliğinin düşük ila orta düzeyde olduğu düşünülebileceği için, bu yetenek genişlemesi, diğer düşük seviyeli düşmanların zaten benzer araçlara sahip olabileceğini veya hızla geliştirebileceğini savunanlara işaret etmelidir."
thehackernews'dan alıntıdır.
Kayıtlar
Hiç yorum yok:
Yorum Gönder