Facebook, Çin’in sponsorluğundaki bir hack grubu tarafından, Çin dışında yaşayan Uygur aktivistleri, gazeteciler ve muhalifler tarafından kullanılan cihazlara güvenlik amaçlı kötü amaçlı yazılım yerleştirmek için kullanılan hesapları kapattı.
Facebook Siber Casusluk Soruşturmaları Başkanı Mike Dvilyanski ve Başkanı Güvenlik Politikası hakkında Nathaniel Gleicher dedi.
“Bu grup, hedeflerini belirlemek ve gözetimi sağlamak için cihazlarına kötü amaçlı yazılım bulaştırmak için çeşitli siber casusluk taktikleri kullandı.”
Uygur Türkleri Watering Hole Saldırılarına Uğradı
Earth Empusa veya Evil Eye olarak bilinen hacker grubu, hedeflerini watering hole attack kontrolleri altındaki kötü niyetli web sitelerine yönlendiren bağlantılar göndermek için artık devre dışı bırakılan Facebook hesaplarını kullandı.
Bazı durumlarda, bunlar başarıyla olarak bilinen casus Uygur hedeflerin iOS cihazları PoisonCarp virüsü bulaştırıyorlar.
Facebook hackleme operasyonunu kesintiye uğratmadan önce, Çin devlet korsanları yurtdışında yaşayan Uygur aktivistlerini hedef alan saldırılarda çeşitli taktikler, teknikler ve prosedürler (TTP’ler) kullanırken gözlemlendi.
Bunlar arasında Uygurlar arasında popüler olan haber sitelerini tehlikeye atmak ve taklit etmek ve öğrenciler, gazeteciler ve insan hakları savunucuları gibi Uygur topluluğu üyeleri olarak poz verirken sosyal mühendislik saldırılarında sahte Facebook hesapları kullanmak vardı.
Ayrıca Uygur hedeflerini ActionSpy veya PluginPhantom kötü amaçlı yazılımlarıyla enfekte eden truva atlı uygulamaları barındırmak için sahte üçüncü taraf Android uygulama mağazaları oluşturdular.
Kötü amaçlı yazılım geliştirme, Çinli şirketlere yaptırıldı
Facebook, kötü amaçlı yazılım türlerini iki Çinli şirkete, Beijing Best United Technology Co., Ltd. (Best Lh) ve Dalian 9Rush Technology Co., Ltd. (9Rush) ile ilişkilendirdi.
Bilgisayar korsanlığı grubu, saldırılarında kullanılan Android araçlarının geliştirilmesini iki şirkete kısmen dış kaynak olarak verdi.
Facebook, “Bunlardan biri hakkındaki değerlendirmemiz, bir siber güvenlik şirketi olan FireEye tarafından yapılan araştırmadan faydalandı” dedi.
“Bu Çin merkezli firmalar, muhtemelen değişen derecelerde operasyonel güvenliğe sahip, genişleyen bir satıcı ağının parçası.“
Aralık ayında Facebook, Vietnam’ın yabancı hükümetleri, çok uluslu şirketleri ve gazetecileri hedef alan siber casusluk kampanyalarıyla tanınan APT32 bilgisayar korsanlığı grubunun maskesini düşürdü.
Facebook, APT32’yi Vietnamlı BT firması CyberOne Group’a bağladı ve iki varlıkla ilişkili tüm etki alanlarını küresel bir engelleme listesine ekledi.
