Facebook suspende cuentas utilizadas por piratas informáticos iraníes para atacar al personal militar de EE. UU.

Hackers de Facebook

Facebook reveló el jueves que desmanteló una campaña de espionaje cibernético en línea «sofisticada» realizada por piratas informáticos iraníes que tenían como objetivo a unos 200 militares y empresas de los sectores de defensa y aeroespacial en los EE. UU., el Reino Unido y Europa utilizando personas en línea falsas en su plataforma.

El gigante de las redes sociales atribuyó los ataques a un actor de amenazas conocido como Tortoiseshell (también conocido como Imperial Kitten) basándose en el hecho de que el adversario utilizó técnicas similares en campañas anteriores atribuidas al grupo de amenazas, que anteriormente se sabía que se centraba en la industria de la tecnología de la información en Arabia Saudita, lo que sugiere una aparente expansión de la actividad maliciosa.

«Este grupo usó varias tácticas maliciosas para identificar a sus objetivos e infectar sus dispositivos con malware para permitir el espionaje», dijo Mike Dvilyanski, Jefe de Investigaciones de Espionaje Cibernético, y David Agranovich, Director de Disrupción de Amenazas en Facebook. «Esta actividad tenía el sello distintivo de una operación persistente y con buenos recursos, al tiempo que dependía de medidas de seguridad operativas relativamente fuertes para ocultar quién está detrás».

Según la compañía, los ataques fueron parte de una campaña multiplataforma mucho más grande, en la que los malos actores aprovecharon Facebook como un vector de ingeniería social para redirigir a las víctimas a dominios no autorizados a través de enlaces maliciosos.

Con ese fin, se dice que Tortoiseshell desplegó personas ficticias sofisticadas para contactar a sus objetivos y, a veces, se comprometió con ellos durante meses para generar confianza, haciéndose pasar por reclutadores y empleados de empresas aeroespaciales y de defensa, mientras que algunos otros afirmaron trabajar en hotelería. , la medicina, el periodismo, las ONG y las industrias aéreas.

Los dominios fraudulentos, incluidas versiones falsas de un portal de búsqueda de empleo del Departamento de Trabajo de EE. UU. y sitios web de reclutamiento, fueron diseñados para apuntar a personas de probable interés dentro de las industrias aeroespacial y de defensa con el objetivo final de perpetrar el robo de credenciales y desviar datos de cuentas de correo electrónico pertenecientes a los objetivos

Además de aprovechar diferentes plataformas de colaboración y mensajería para mover las conversaciones fuera de la plataforma y entregar malware personalizado a sus víctimas, el actor de amenazas también perfiló sus sistemas para aspirar información sobre las redes a las que estaban conectados los dispositivos y el software instalado en ellos. implemente troyanos de acceso remoto (RAT) con funciones completas, herramientas de reconocimiento de dispositivos y redes, y registradores de pulsaciones de teclas.

Además, el análisis de Facebook de la infraestructura de malware de Tortoiseshell encontró que una parte de su conjunto de herramientas fue desarrollada por Mahak Rayan Afraz (MRA), una empresa de TI en Teherán vinculada al Cuerpo de la Guardia Revolucionaria Islámica (IRGC).

«Para interrumpir esta operación, bloqueamos el uso compartido de dominios maliciosos en nuestra plataforma, eliminamos las cuentas del grupo y notificamos a las personas que creemos que fueron atacadas por este actor de amenazas», dijeron Dvilyanski y Agranovich. Se eliminaron alrededor de 200 cuentas administradas por el grupo de piratería, agregó Facebook.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática