كشفت شركة Meta ، الشركة الأم لـ Facebook ، أنها اتخذت إجراءات ضد لعمليات التجسس السيبراني لعمليتي تجسس في جنوب آسيا استفادتا من منصات التواصل الاجتماعي لتوزيع البرامج الضارة على الأهداف المحتملة.
المجموعة الأولى من الأنشطة هي ما وصفته الشركة بأنه “مستمر ومزود بموارد جيدة” والذي تقوم به مجموعة قرصنة تم تتبعها تحت اسم Bitter APT (المعروف أيضًا باسم APT-C-08 أو T-APT-17) التي تستهدف الأفراد في نيوزيلندا. الهند وباكستان والمملكة المتحدة
وقالت Meta في تقريرها الفصلي عن التهديدات المناوئة: “استخدمت Bitter أساليب ضارة مختلفة لاستهداف الأشخاص عبر الإنترنت باستخدام الهندسة الاجتماعية وإصابة أجهزتهم ببرامج ضارة”. “لقد استخدموا مزيجًا من خدمات تقصير الروابط والمجالات الضارة ومواقع الويب المخترقة وموفري الاستضافة من الجهات الخارجية لتوزيع برامجهم الضارة.”
تضمنت الهجمات
تضمنت الهجمات ممثل التهديد الذي ابتكر شخصيات وهمية على المنصة. متنكرًا في هيئة شابات جذابة في محاولة لبناء الثقة مع الأهداف وجذبهم للنقر على روابط وهمية تنشر برامج ضارة.
ولكن في تطور مثير للاهتمام. أقنع المهاجمون الضحايا بتنزيل تطبيق دردشة iOS عبر Apple TestFlight. وهي خدمة مشروعة عبر الإنترنت يمكن استخدامها لتطبيقات الاختبار التجريبي وتقديم ملاحظات لمطوري التطبيقات.
“هذا يعني أن المتسللين لم يحتاجوا إلى الاعتماد على عمليات الاستغلال لتقديم برامج ضارة مخصصة للأهداف ويمكنهم الاستفادة من خدمات Apple الرسمية لتوزيع التطبيق في محاولة لجعله يبدو أكثر شرعية. طالما أنهم أقنعوا الأشخاص بتنزيل Apple Testflight و خدعتهم في تثبيت تطبيق الدردشة الخاص بهم. “قال الباحثون.
في حين أن الوظيفة الدقيقة للتطبيق غير معروفة. إلا أنه يُشتبه في أنه تم توظيفها كحيلة للهندسة الاجتماعية كوسيلة للإشراف على ضحايا الحملة من خلال وسيط دردشة منظم لهذا الغرض.
بالإضافة إلى ذلك. استخدم مشغلو Bitter APT برنامجًا ضارًا يعمل بنظام Android غير موثق سابقًا يطلق عليه Dracarys. والذي يسيء إلى أذونات إمكانية الوصول لنظام التشغيل لتثبيت تطبيقات عشوائية وتسجيل الصوت والتقاط الصور وجمع البيانات الحساسة من الهواتف المصابة مثل سجلات المكالمات وجهات الاتصال والملفات. الرسائل النصية. والموقع الجغرافي. ومعلومات الجهاز.
تم تسليم Dracarys من خلال تطبيقات قطارة طروادة متظاهرة مثل YouTube و Signal و Telegram و WhatsApp. مما استمر في اتجاه المهاجمين الذين ينشرون بشكل متزايد برامج ضارة متخفية كبرنامج شرعي لاقتحام الأجهزة المحمولة.
علاوة على ذلك ، في علامة على التكيف العدائي ، أشارت Meta إلى أن المجموعة تصدت لجهودها في الكشف والحظر من خلال نشر روابط معطلة أو صور للروابط الضارة على سلاسل الدردشة. مما يتطلب من المستلمين كتابة الرابط في متصفحاتهم.
تعتبر أصول Bitter بمثابة لغز. مع عدم توفر العديد من المؤشرات لربطها بشكل قاطع بدولة معينة. يُعتقد أنها تعمل من جنوب آسيا وقد وسع نطاق تركيزها مؤخرًا لضرب الكيانات العسكرية في بنغلاديش.
Transparent Tribe
المجموعة الثانية التي تم تعطيلها بواسطة Meta هي Transparent Tribe (المعروف أيضًا باسم APT36). وهو تهديد مستمر متقدم يُزعم أنه مقره في باكستان وله سجل حافل في استهداف الوكالات الحكومية في الهند وأفغانستان بأدوات خبيثة مخصصة.
في الشهر الماضي. عزت Cisco Talos الممثل إلى حملة التصيد المستمرة التي تستهدف الطلاب في مختلف المؤسسات التعليمية في الهند. مما يمثل خروجًا عن نمط الضحايا النموذجي ليشمل المستخدمين المدنيين.
تشير أحدث مجموعة من التدخلات إلى اندماج. بعد أن خص الأفراد العسكريين والمسؤولين الحكوميين وموظفي حقوق الإنسان والمنظمات غير الهادفة للربح الأخرى والطلاب المقيمين في أفغانستان والهند وباكستان والمملكة العربية السعودية والإمارات العربية المتحدة.
تم تصميم الأهداف اجتماعيًا باستخدام شخصيات مزيفة من خلال التظاهر بأنهم مجندين لكل من الشركات الشرعية والمزيفة. أو الأفراد العسكريين. أو الشابات الجذابات اللائي يتطلعن إلى إقامة اتصال رومانسي. مما يدفعهن في النهاية إلى فتح روابط تستضيف برامج ضارة.
VirusTotal كشف عن معظم البرامج المنتحلة في هجمات البرامج الضارة.
احتوت الملفات التي تم تنزيلها على LazaSpy ، وهو نسخة معدلة من برنامج مراقبة Android مفتوح المصدر يسمى XploitSPY. بينما تستخدم أيضًا تطبيقات WhatsApp و WeChat و YouTube المستنسخة غير الرسمية لتقديم برامج ضارة أخرى للسلعة تُعرف باسم Mobzsar (المعروف أيضًا باسم CapraSpy).
يأتي كلا الجزأين من البرامج الضارة مع ميزات لجمع سجلات المكالمات وجهات الاتصال والملفات والرسائل النصية والموقع الجغرافي ومعلومات الجهاز والصور. بالإضافة إلى تمكين ميكروفون الجهاز. مما يجعلها أدوات مراقبة فعالة.
قال الباحثون: “هذا التهديد هو مثال جيد على الاتجاه العالمي […] حيث تختار المجموعات منخفضة التطور الاعتماد على الأدوات الخبيثة المتاحة علنًا. بدلاً من الاستثمار في تطوير أو شراء قدرات هجومية متطورة”.
تتطلب هذه “الأدوات الأساسية منخفضة التكلفة […] خبرة فنية أقل للنشر. ومع ذلك تعطي نتائج للمهاجمين وقالت الشركة. مضيفة أنها “تضفي الطابع الديمقراطي على الوصول إلى قدرات القرصنة والمراقبة حيث يصبح حاجز الدخول أقل”.