Neu-Delhi, 5. August (IANS) Meta (ehemals Facebook) ging hart gegen eine Cyberspionage-Operation vor, die mit staatlich geförderten schlechten Akteuren in Pakistan verbunden war und Menschen in Indien, darunter Militär- und Regierungsbeamte, mit verschiedenen Methoden wie Honey Trapping und der Infiltration von Malware in ihre Geräte ins Visier nahm.
Neben Indien hat die Hackergruppe in Pakistan – in der Sicherheitsbranche als APT36 bekannt – laut dem vierteljährlichen Bericht „Adversarial Threat Report“ von Meta Menschen in Afghanistan, Pakistan, den Vereinigten Arabischen Emiraten und Saudi-Arabien ins Visier genommen.
„Unsere Untersuchung hat diese Aktivität mit staatsnahen Akteuren in Pakistan in Verbindung gebracht“, sagte Meta.
Die Aktivitäten der Gruppe waren hartnäckig und zielten auf viele Dienste im Internet ab, von E-Mail-Anbietern über Datei-Hosting-Dienste bis hin zu sozialen Medien.
„APT36 hat verschiedene böswillige Taktiken verwendet, um Menschen online mit Social Engineering anzusprechen, um ihre Geräte mit Malware zu infizieren. Sie verwendeten eine Mischung aus bösartigen und getarnten Links und gefälschten Apps, um ihre Malware auf Android- und Windows-Geräte zu verteilen“, warnte das soziale Netzwerk. .
APT36 verwendete fiktive Charaktere – die sich als Anwerber für legitime und gefälschte Unternehmen, Militärpersonal oder attraktive junge Frauen ausgaben, die eine romantische Beziehung aufbauen wollten – um Vertrauen zu den Zielpersonen aufzubauen.
Die Gruppe setzte eine breite Palette von Taktiken ein, einschließlich der Verwendung einer benutzerdefinierten Infrastruktur, um ihre Malware zu verbreiten.
„Einige dieser Domains imitierten Foto-Sharing-Websites oder generische App-Stores, während andere echte Business-Domains wie Google Play Store, Microsoft OneDrive und Google Drive imitierten“, heißt es in dem Meta-Bericht.
Darüber hinaus nutzte diese Gruppe gängige Filesharing-Dienste wie WeTransfer, um Malware für kurze Zeit zu hosten.
In Pakistan ansässige Akteure haben auch Link-Shortening-Dienste verwendet, um bösartige URLs zu verschleiern.
Sie verwendeten Social Maps und Preview-Sites – Online-Tools, die im Marketing verwendet werden, um das Bild anzupassen, das angezeigt wird, wenn eine bestimmte URL in sozialen Medien geteilt wird –, um die Weiterleitung und den Besitz von Domains zu verbergen, die von APT36 kontrolliert werden.
„APT36 teilte Malware nicht direkt auf unseren Plattformen, sondern nutzte stattdessen die Taktik, bösartige Links zu Websites zu teilen, die sie kontrollierten und auf denen sie Malware hosteten“, sagte Meta.
In mehreren Fällen verwendete diese Gruppe eine modifizierte Version von Android-Malware namens „XploitSPY“, die auf Github verfügbar ist.
Während „XploitSPY“ ursprünglich von einer Gruppe selbsternannter ethischer Hacker in Indien entwickelt worden zu sein scheint, hat APT36 Änderungen daran vorgenommen, um eine neue Malware-Variante namens „LazaSpy“ zu produzieren.
Meta entdeckte, dass APT36 bei dieser jüngsten Operation auch trojanisierte (inoffizielle) Versionen von WhatsApp, WeChat und YouTube mit einer anderen Malware-Familie namens Mobzsar oder CapraSpy hatte.
„Beide Malware-Familien können auf Anrufprotokolle, Kontakte, Dateien, Textnachrichten, Geolokalisierung, Geräteinformationen, Fotos und Mikrofonaktivierung zugreifen“, heißt es in dem Bericht.
Meta entfernte auch ein Brigadennetzwerk in Indien, ein Massenmeldenetzwerk in Indonesien und koordinierte Netzwerke für Verstöße in Griechenland, Indien und Südafrika.
Brigadier ist eine Technik, bei der sich Gruppen von Menschen koordinieren, um Menschen auf Meta-Plattformen zu belästigen, um sie einzuschüchtern und zum Schweigen zu bringen.
