Meta, l’azienda madre di Facebook, il social più conosciuto al mondo, ha rivelato di aver preso provvedimenti contro due operazioni di spionaggio nell’Asia meridionale che hanno sfruttato le sue piattaforme di social media per distribuire malware a potenziali obiettivi.
La prima serie di attività è stata descritta dall’azienda come “persistente e con risorse adeguate” e intrapresa da un gruppo di hacker monitorato con il soprannome di Bitter APT (detti anche APT-C-08 o T-APT-17) che prendono di mira persone in India, Pakistan, Stati Uniti e Nuova Zelanda prevalentemente.
Meta, l’azienda madre di Facebook cos’ha dichiarato?
“Bitter ha utilizzato varie tattiche dannose per prendere di mira le persone online con l’ingegneria sociale e infettare i loro dispositivi con malware“, hanno dichiarato i membri di Meta in un loro report, “[gli hacker di Bitter] hanno utilizzato un mix di servizi che abbreviano i link, domini dannosi, siti Web non sicuro e provider di hosting di terze parti per distribuire i loro malware“.
Gli attacchi hanno coinvolto l’autore delle minacce che creava profili fasulli sulla piattaforma, mascherandosi da giovani donne avvenenti nel tentativo di creare un rapporto di fiducia con gli utenti, per indurli a fare clic su collegamenti fasulli che distribuivano i malware.
“Ciò significava che gli hacker non avevano bisogno di fare affidamento sugli exploit per fornire malware personalizzato ai loro obiettivi; e potevano utilizzare i servizi Apple ufficiali per distribuire l’applicazione, nel tentativo di farla sembrare più legittima, a patto che convincessero le persone a scaricare Apple Testflight, per indurli successivamente a scaricare da lì i software“, hanno detto gli esperti.
Sebbene sia ignoto cosa faccia questa applicazione trojan di preciso, si sospetta che siano stati usati metodi di ingegneria sociale per convincere le persone a scaricarla.
Inoltre, gli hacker di Bitter APT hanno utilizzato un malware Android precedentemente non documentato chiamato Dracarys.
Tramite il social di Meta (Facebook), Dracarys sfrutta dei permessi di accessibilità del sistema operativo per installare applicazioni dubbie, registrare audio, acquisire foto e raccogliere dati sensibili dai telefoni infetti, come i registri delle chiamate, contatti, file, messaggi di testo, la posizione e varie informazioni sul dispositivo.
Dracarys è stato distribuito tramite varie applicazioni trojan che si fingono YouTube, Signal, Telegram, Facebook e WhatsApp, continuando quindi ad utilizzare la classica pratica di creare applicazioni che sembrano “le solite note”, ma che si rivelano virus o malware piuttosto dannosi.
Inoltre, curiosamente, Meta ha notato che il gruppo ha contrastato i suoi tentativi di rilevamento e blocco pubblicando collegamenti non completi o immagini di collegamenti dannosi sui vari thread (argomenti) della chat, richiedendo ai destinatari di digitare l’indirizzo (l’URL per i più esperti) sui propri browser.
Le origini di Bitter sono un mistero, ci sono pochissimi indizi che possono legare questo gruppo ad un paese specifico. Si pensa che operi al di fuori dell’Asia meridionale e ha recentemente ampliato la propria attenzione per colpire entità militari in Bangladesh.
Ma Meta non ha smascherato solo i Bitter ATP…
Il secondo gruppo ad essere fermato da Meta è Transparent Tribe (detto anche APT36), un gruppo di hacker parecchio avanzato che si presume abbia sede fuori dal Pakistan e che prende di mira soprattutto le agenzie governative in India e Afghanistan con strumenti dannosi su misura.
Il mese scorso, Cisco Talos ha attribuito a questo gruppo una campagna di phishing in corso nei confronti degli studenti di vari istituti scolastici in India, allontanandosi dal loro solito modus operandi includendo questa volta anche dei civili.
L’ultima serie di brecce nel sistema suggerisce una sorta di collaborazione tra vari gruppi di hacker che attaccano come detto poc’anzi anche utenti civili con sede in Afghanistan, India, Pakistan, Arabia Saudita e negli Emirati Arabi Uniti.
Anche in questo caso sono state usate tecniche di ingegneria sociale (profili falsi che danno link che si collegano a siti fasulli) che simulano società fittizie e quant’altro, con l’apparenza di legittimità.
I file scaricati contenevano LazaSpy, una versione modificata di un software di monitoraggio Android open source chiamato XploitSPY, mentre utilizzavano anche programmi cloni non ufficiali di WhatsApp, WeChat e YouTube per fornire un altro malware noto come Mobzsar (detto anche CapraSpy).
Come nel caso dell’altro gruppo hacker anche qui, Meta ci riferisce che usavano delle applicazioni fasulle replicavano quelle più note per poter rubare foto, registrare audio, avere accesso ai file personali sul tuo telefono e quant’altro.
“Gli autori di queste minacce sono un buon esempio di una tendenza globale […] in cui i gruppi scelgono non di fare affidamento su strumenti altamente tecnologici e dannosi apertamente disponibili, ma preferiscono utilizzare particolari tecniche di ingegneria sociale [psicologiche] per spingere l’utente a scaricare il software malevolo“, hanno affermato i ricercatori.
Una riflessione su questi due casi sventati da Meta
I comuni denominatori di ambo i casi sono:
- applicazioni fasulle che imitano quelli reali;
- la creazione di profili fasulli che sembrano veri.
Riguardo il secondo qualcuno potrebbe dire “embè, non ci vuole molto a capire se un profilo è vero o meno“, ma in realtà con le tecnologie di oggi diventa sempre più difficile capire cosa sia reale o meno.
Senza scomodare la tecnica del deepfake, ti basti pensare che esiste il sito ThisPersonDoesNotExist che permette di creare casualmente volti pressoché indistinguibili da quelli reali.
Applicazioni come Faceapp, possono farti letteralmente cambiare faccia, come il caso del motociclista giapponese che si spacciava per donna.
Come tua madre da piccolo sosteneva “non accettare caramelle dagli sconosciuti“, la versione moderna potrebbe diventare “non accettare link abbreviati o da siti strani da sconosciuti sui social“.
