Ba kẻ đe dọa khác nhau đã tận dụng hàng trăm nhân vật hư cấu phức tạp trên Facebook và Instagram để nhắm mục tiêu các cá nhân ở Nam Á như một phần của các cuộc tấn công khác nhau.
Guy Rosen, giám đốc an ninh thông tin tại Meta, cho biết: “Mỗi APT này đều dựa chủ yếu vào kỹ thuật xã hội để lừa mọi người nhấp vào các liên kết độc hại, tải xuống phần mềm độc hại hoặc chia sẻ thông tin cá nhân trên internet”. “Đầu tư vào kỹ thuật xã hội này có nghĩa là những tác nhân đe dọa này không phải đầu tư nhiều vào phía phần mềm độc hại.”
Các tài khoản giả mạo, ngoài việc sử dụng những chiêu dụ truyền thống như phụ nữ đang tìm kiếm một mối quan hệ lãng mạn, còn giả dạng là nhà tuyển dụng, nhà báo hoặc quân nhân.
Ít nhất hai trong số các nỗ lực gián điệp mạng đòi hỏi phải sử dụng phần mềm độc hại có độ tinh vi thấp với các khả năng bị giảm sút, có khả năng là nhằm vượt qua kiểm tra xác minh ứng dụng do Apple và Google thiết lập.
Một trong những nhóm lọt vào tầm ngắm của Meta là nhóm đe dọa liên tục nâng cao (APT) có trụ sở tại Pakistan, dựa vào mạng lưới 120 tài khoản trên Facebook và Instagram cũng như các ứng dụng và trang web giả mạo để lây nhiễm cho quân nhân ở Ấn Độ và trong Lực lượng Không quân Pakistan. với GravityRAT dưới vỏ bọc là ứng dụng giải trí và lưu trữ đám mây.
Gã khổng lồ công nghệ cũng đã xóa khoảng 110 tài khoản trên Facebook và Instagram được liên kết với APT được xác định là Bahamut nhắm mục tiêu vào các nhà hoạt động, nhân viên chính phủ và quân nhân ở Ấn Độ và Pakistan bằng phần mềm độc hại Android được xuất bản trong Google Play Store. Kể từ đó, các ứng dụng được coi là ứng dụng VPN hoặc trò chuyện an toàn đã bị xóa.
Cuối cùng, nó đã xóa 50 tài khoản trên Facebook và Instagram được liên kết với một tác nhân đe dọa có trụ sở tại Ấn Độ có tên là Patchwork, đã lợi dụng các ứng dụng độc hại được tải lên Play Store để thu thập dữ liệu từ các nạn nhân ở Pakistan, Ấn Độ, Bangladesh, Sri Lanka, Tây Tạng và Trung Quốc.
Cũng bị phá vỡ bởi meta là sáu mạng đối nghịch từ Hoa Kỳ, Venezuela, Iran, Trung Quốc, Georgia, Burkina Faso và Togo đã tham gia vào cái mà nó gọi là “hành vi không trung thực có phối hợp” trên Facebook và các nền tảng truyền thông xã hội khác như Twitter, Telegram, YouTube, Phương tiện, TikTok, Blogspot, Reddit và WordPress.
Tất cả các mạng phân tán về mặt địa lý này được cho là đã thiết lập các thương hiệu truyền thông tin tức lừa đảo, các nhóm hacktivist và NGO để tạo uy tín, với ba trong số đó được liên kết với một công ty tiếp thị có trụ sở tại Hoa Kỳ tên là Predictvia, một công ty tư vấn tiếp thị chính trị ở Togo được gọi là Groupe Panafricain pour le Commerce et l'Investissement (GPCI) và Phòng Truyền thông Chiến lược của Georgia.
Hai mạng có nguồn gốc từ Trung Quốc đã điều hành hàng chục tài khoản, trang và nhóm lừa đảo trên Facebook và Instagram để nhắm mục tiêu người dùng ở Ấn Độ, Tây Tạng, Đài Loan, Nhật Bản và cộng đồng người Duy Ngô Nhĩ.
Trong cả hai trường hợp, Meta cho biết họ đã gỡ bỏ các hoạt động trước khi họ có thể “xây dựng lượng khán giả” trên các dịch vụ của mình, đồng thời bổ sung thêm rằng họ đã tìm thấy các liên kết kết nối một mạng với các cá nhân có liên quan đến một công ty CNTT Trung Quốc có tên là Công nghệ mạng Tianwendian Tây An.
Mạng từ Iran, theo gã khổng lồ truyền thông xã hội, chủ yếu chỉ ra Israel, Bahrain và Pháp, chứng thực một đánh giá trước đó của Microsoft về sự tham gia của Iran trong vụ hack tạp chí châm biếm Charlie Hebdo của Pháp vào tháng 1 năm 2023.
Meta cho biết: “Những người đứng sau mạng này đã sử dụng các tài khoản giả để đăng, thích và chia sẻ nội dung của riêng họ để làm cho nội dung đó có vẻ phổ biến hơn so với trước đây, cũng như để quản lý các Trang và Nhóm đóng giả là các nhóm hacktivist”. “Họ cũng thích và chia sẻ các bài đăng của người khác về các chủ đề an ninh mạng, có khả năng làm cho các tài khoản giả mạo trông đáng tin cậy hơn.”
Tiết lộ này cũng trùng khớp với một báo cáo mới của Microsoft, tiết lộ rằng các chủ thể liên kết với nhà nước Iran đang ngày càng dựa vào các hoạt động gây ảnh hưởng trên mạng để “tăng cường, phóng đại hoặc bù đắp cho những thiếu sót trong khả năng truy cập mạng hoặc tấn công mạng” kể từ tháng 6 năm 2022.
Chính phủ Iran đã được Redmond liên kết với 24 hoạt động như vậy vào năm 2022, tăng từ bảy hoạt động vào năm 2021, bao gồm các cụm được theo dõi như Nhân viên Moses, Công lý Tổ quốc, Rìu của Áp-ra-ham, Linh hồn thánh thiện và DarkBit. 17 trong số các hoạt động đã diễn ra kể từ tháng 6 năm 2022.
Nhà sản xuất Windows cho biết thêm rằng họ đã quan sát thấy “nhiều kẻ Iran đang cố gắng sử dụng tin nhắn SMS hàng loạt trong ba trường hợp vào nửa cuối năm 2022, có khả năng tăng cường hiệu ứng khuếch đại và tâm lý cho các hoạt động gây ảnh hưởng trên mạng của họ.”
Sự thay đổi trong chiến thuật cũng được đặc trưng bởi việc khai thác nhanh chóng các lỗ hổng bảo mật đã biết, sử dụng các trang web của nạn nhân để ra lệnh và kiểm soát cũng như áp dụng các thiết bị cấy ghép riêng biệt để tránh bị phát hiện và đánh cắp thông tin từ nạn nhân.
Các hoạt động đã chỉ ra Israel và Hoa Kỳ như một sự trả đũa vì bị cáo buộc kích động tình trạng bất ổn trong quốc gia, đã tìm cách thúc đẩy sự phản kháng của người Palestine, kích động tình trạng bất ổn ở Bahrain và chống lại việc bình thường hóa quan hệ Ả Rập-Israel.
