Facebook-moeder Meta zei dat het de activiteit van drie Advanced Persistent Threat Groups (APT’s) in Zuid-Azië die zich bezighouden met cyberspionage heeft gedwarsboomd, evenals zes vijandige groepen uit verschillende wereldwijde regio’s die zich bezighouden met wat het beschouwt als „niet-authentiek gedrag“ op Facebook en andere sociale netwerken.
De verwijdering door het bedrijf van deze en andere activiteiten op zijn platforms is een indicatie van een zee van consistent en wereldwijd verspreid uitbuitingsgedrag van bedreigingsactoren om verschillende online platforms te gebruiken om uitgebreide social-engineeringcampagnes te creëren om internetgebruikers te lokken en uit te buiten, aldus het bedrijf.
Volgens Meta gebruiken cybercriminelen in de meeste gevallen Facebook en andere sociale netwerk- en mediaplatforms, waaronder Twitter, Telegram, YouTube, Medium, TikTok en Blogspot, om verschillende valse online accounts en persona’s te creëren. De aanvallers gebruikten valse identiteiten, waaronder wervingsbureaus, journalisten of zelfs militair personeel, om geloofwaardigheid te verwerven bij gebruikers en legitieme entiteiten, zodat ze kwaadaardige bedreigingen konden plegen, aldus het bedrijf.
In zijn Driemaandelijks Adversarial Threat Report dat vandaag is uitgebracht, Meta heeft deze incidenten gedetailleerd beschreven, evenals de acties die het nu onderneemt om beveiligingsbedreigingen die gebruikmaken van zijn platforms te minimaliseren.
Het rapport is gebaseerd op Meta’s beveiligingsmonitoring van het gebruik van zijn platforms, evenals monitoring van het internet in het algemeen om kwaadaardige activiteiten te markeren, die steeds meer verspreid raken over verschillende platforms en geografische gebieden en dus moeilijker te volgen zijn, Nathaniel Gleicher, hoofd van het veiligheidsbeleid bij Meta, vertelde journalisten in een briefing over het rapport op 2 mei.
„Deze bedreigingen zijn buitengewoon hardnekkig en gaan nergens heen omdat de bedreigingsactoren erachter financieel gemotiveerd zijn“, zei hij. „Daarom zien we … vijandige aanpassing … inclusief malware-operators, die zich over veel plaatsen tegelijk verspreiden. Elke fase van de campagne is dus afhankelijk van een andere service om te overleven.“
Als onderdeel van haar werk om deze activiteit te bestrijden, heeft Meta is ook van plan om bedrijven te versterken met een nieuwe tool het zal later dit jaar worden uitgebracht om hen te helpen bij het identificeren van kwaadaardige activiteiten en malware die door de bedreigingsgroepen op hun eigen platforms wordt gebruikt.
„Een van de belangrijkste onderdelen van dit werk is leren van die innovatie en het verbeteren van onze beveiligingsproducten bij elke nieuwe storing“, aldus Gleicher. „Dit helpt ons nieuwe beschermings- en detectiemethoden te bouwen, niet alleen tegen die specifieke bedreigingsactor, maar tegen elke andere bedreigingsactor die dezelfde techniek wil gebruiken.“
De volharding van aanvallers inspireerde tzijn bredere benadering van beveiliging van Meta, hij zei. Het bedrijf is in het verleden inderdaad bekritiseerd en zelfs beboet vanwege de wijdverbreide bedreigingen voor zowel de veiligheid als de privacy die zich hebben verspreid over zijn sociale mediaplatforms, en heeft aanzienlijke inspanningen geleverd in de afgelopen jaren om zijn beveiligingsspel op te voeren.
Nu wordt echter steeds duidelijker dat te voorkomen deze activiteit en cyberaanvallen die daaruit voortkomenis het niet alleen genoeg voor Meta en andere internetbedrijven om hun eigen respectieve platforms te controleren en gebruikers en bedrijven te informeren over kwaadaardige activiteiten, zei Gleicher.
„We bieden het soort bredere reactie van de hele samenleving, omdat compromissen vaak plaatsvinden buiten onze apps en diensten om“, zei hij.
APT’s in Zuid-Azië tegenhouden
Als onderdeel van zijn beveiligingsreactie heeft Meta verschillende accounts verwijderd om drie netwerken te verstoren die verband houden met Zuid-Aziatische APT’s die zich op verschillende gebruikers in de regio richten, aldus het bedrijf.
Het bedrijf ondernam met name actie tegen ongeveer 120 accounts op Facebook en Instagram die gelinkt waren aan een laagdrempelige hackgroep die banden had met aan de staat gelieerde actoren in Pakistan. De groep richt zich voornamelijk op mensen in India en Pakistan, waaronder militairen in India en individuen van de Pakistaanse luchtmacht.
De groep leunde zwaar op een web van door aanvallers gecontroleerde websites om malware te verspreiden via zeer gerichte campagnes die erop gericht waren om doelwitten te misleiden om op kwaadaardige links te klikken en Android- of Windows-malware te downloaden, aldus Meta.
Een van de tactieken was het gebruik van fictieve persona’s, zoals rekruteerders voor nep-defensiebedrijven en regeringen; journalisten, militair personeel en vrouwen die op zoek zijn naar een romantische band om vertrouwen op te bouwen bij gebruikers. Ze gebruikten ook nep-apps en websites die malware leverden, aldus het bedrijf.
Meta verwijderde ook ongeveer 110 accounts op Facebook en Instagram die gekoppeld waren aan een APT geïdentificeerd als Bahamut die gericht was op mensen in Pakistan, India, inclusief de regio Kasjmir. Doelwitten waren onder meer militair personeel, overheidspersoneel, activisten en anderen.
Bahamut voerde verschillende campagnes uit op internet, waaronder diensten voor het verkorten van links, gecompromitteerde of door aanvallers gecontroleerde websites, officiële en vervalste app-winkels en externe hostingproviders. Net als de Pakistaanse APT handhaafden ze een reeks fictieve persona’s, met als doel mensen in Zuid-Azië te misleiden om informatie te verstrekken of mobiele apparaten in gevaar te brengen, voornamelijk door Android-malware te gebruiken, aldus het rapport.
Meta richtte zich ook op een andere in India gevestigde dreigingsgroep, Patchwork APT, door ongeveer 50 accounts op Facebook en Instagram te verwijderen die aan zijn activiteit waren gekoppeld. De groep richtte zich op mensen in Pakistan, India, Bangladesh, Sri Lanka, de regio Tibet en China, waaronder militairen, activisten en minderheidsgroepen, aldus het bedrijf.
Net als de andere APT’s creëert en onderhoudt Patchwork ook een reeks fictieve persona’s en accounts online, waarvan sommige zich voordeden als in het VK of de VAE gevestigde journalisten die voor zowel legitieme als valse mediakanalen, militair personeel of defensie-inlichtingenadviseurs werkten. gezegd.
Patchwork ook verspreid kwaadaardige apps in de Google Play Store – die Meta meldde en had verwijderd door Google – en creëerde sociaal ontworpen campagnes om mensen te verleiden op kwaadaardige links te klikken en kwaadaardige apps te downloaden. De groep toonde ook een aanzienlijke volharding door van tactiek te veranderen als reactie op defensieve activiteiten van Meta’s beveiligingsteams, aldus het bedrijf.
„Deze vijandige aanpassing heeft waarschijnlijk de overhead verhoogd en de effectiviteit van de operaties van Patchwork verminderd“, aldus het rapport.
Identiteiten als cyberbedreigingen
Meta heeft ook gereageerd op een reeks geografisch verspreide activiteiten op zijn platforms die het gecoördineerd niet-authentiek gedrag (CIB) noemt, gedefinieerd als „gecoördineerde inspanningen om het publieke debat te manipuleren voor een strategisch doel, waarbij nepaccounts centraal staan in de operatie“. bedrijf zei.
„In elk geval stemmen mensen met elkaar af en gebruiken ze valse accounts om anderen te misleiden over wie ze zijn en wat ze doen“, aldus het rapport.
Het bedrijf verwijderde honderden Facebook-accounts, verschillende pagina’s en groepen, evenals Instagram-accounts – afhankelijk van de regio – voor netwerken van CIB’s die hun oorsprong vonden in en actief waren in de volgende landen: Iran; Venezuela en de VS; Togo en Burkina Faso; Georgië; en China, waar volgens het rapport twee afzonderlijke netwerken werden verstoord.
Hoewel de tactieken voor elke groep varieerden, waren er trends in hun activiteiten, waarbij bijna alle netwerken investeerden in het creëren van nepaccounts en fictieve entiteiten op internet, waaronder nieuwsmedia-organisaties, hacktivistische groepen en ngo’s, zei Meta’s Nimmo.
Bovendien zou het grootste deel van de netwerken die Facebook heeft verwijderd, legitieme commerciële entiteiten kunnen zijn, waaronder een IT-bedrijf in China, een marketingbedrijf in de Verenigde Staten en een politiek marketingadviesbureau in Afrika, aldus het bedrijf.
Meta heeft in zijn rapport een breed scala aan indicatoren voor compromissen opgenomen om organisaties te helpen bij het identificeren van kwaadaardige activiteiten die voortkomen uit deze campagnes in hun netwerken. Het zal ook blijven delen dreigingsonderzoek met collega’s en beveiligingsonderzoekers om bedrijven te helpen bij het bestrijden van kwaadaardige activiteiten die gericht zijn op het in gevaar brengen van hun netwerken en zakelijke activiteiten, aldus het bedrijf.