Facebook puede estar prohibido en China, pero la compañía dijo el miércoles que ha interrumpido una red de malos actores que utilizan su plataforma para apuntar a la comunidad uigur y atraerlos para que descarguen software malicioso que permitiría la vigilancia de sus dispositivos.
“Apuntaron a activistas, periodistas y disidentes predominantemente entre los uigures de Xinjiang en China que viven principalmente en el extranjero en Turquía, Kazajstán, Estados Unidos, Siria, Australia, Canadá y otros países”, dijo el jefe de investigaciones de ciberespionaje de Facebook, Mike Dvilyanski, y Dijo el Jefe de Política de Seguridad, Nathaniel Gleicher. «Este grupo usó varias tácticas de espionaje cibernético para identificar sus objetivos e infectar sus dispositivos con malware para permitir la vigilancia».
El gigante de las redes sociales dijo que la «operación persistente y con buenos recursos» se alineó con un actor de amenazas conocido como Evil Eye (o Earth Empusa), un colectivo con sede en China conocido por su historial de ataques de espionaje contra la minoría musulmana en la nación al menos desde agosto de 2019 a través de «sitios web estratégicamente comprometidos» al explotar dispositivos iOS y Android como superficie de ataque para obtener acceso a cuentas de Gmail.
Las revelaciones se producen días después de que la Unión Europea, el Reino Unido, EE. UU. y Canadá anunciaran conjuntamente sanciones contra varios altos funcionarios en China por abusos contra los derechos humanos de los uigures en la provincia china de Xinjiang.
Se dice que Evil Eye recurrió a un enfoque multifacético para permanecer oculto y ocultar sus intenciones maliciosas haciéndose pasar por periodistas, estudiantes, defensores de los derechos humanos o miembros de la comunidad uigur para ganarse la confianza de las víctimas objetivo antes de atraerlas para que hagan clic en enlaces maliciosos. .
Además de los esfuerzos de ingeniería social, el colectivo aprovechó una red de sitios web infestados de malware, tanto sitios web legítimamente comprometidos como dominios similares a sitios de noticias populares en uigur y turco, que se utilizaron como abrevadero para atraer e infectar selectivamente a usuarios de iPhone en función de ciertos criterios técnicos. , incluida la dirección IP, el sistema operativo, el navegador, el país y la configuración de idioma.
«Algunas de estas páginas web contenían un código javascript malicioso que se parecía a los exploits informados anteriormente, que instalaban el malware iOS conocido como INSOMNIA en los dispositivos de las personas una vez que estaban comprometidos», señaló la compañía. Insomnia viene con capacidades para filtrar datos de una variedad de aplicaciones de iOS, como contactos, ubicación e iMessage, así como clientes de mensajería de terceros de Signal, WhatsApp, Telegram, Gmail y Hangouts.
Por separado, Evil Eye también creó tiendas de aplicaciones de Android de terceros similares para publicar aplicaciones con temas uigures troyanizados, como una aplicación de teclado, una aplicación de oración y una aplicación de diccionario, que sirvieron como conducto para implementar dos cepas de malware de Android, ActionSpy y PluginPhantom. Una investigación adicional sobre las familias de malware de Android vinculó la infraestructura de ataque con dos empresas chinas, Beijing Best United Technology Co., Ltd. (Best Lh) y Dalian 9Rush Technology Co., Ltd. (9Ráfaga).
«Es probable que estas empresas con sede en China formen parte de una red en expansión de proveedores, con diversos grados de seguridad operativa», señalaron los investigadores.
En una serie de contramedidas, la compañía dijo que bloqueó los dominios maliciosos en cuestión para que no se compartiesen en su plataforma, deshabilitó las cuentas infractoras y notificó a unas 500 personas que fueron atacadas por el adversario.
Esta no es la primera vez que Facebook saca a la luz empresas de tecnología que operan como fachada para actividades de piratería patrocinadas por el estado. En diciembre de 2020, la red social vinculó formalmente a OceanLotus con una empresa de tecnología de la información llamada CyberOne Group ubicada en Vietnam.
