Miután toborzóknak vagy iparági kollégáknak adták ki magukat, a hackerek meggyőzték az áldozatokat, hogy látogassanak el rosszindulatú weboldalakra, amelyek ismerős domaineket utánoztak. A Facebook azonban megszakította egy olyan csoport kifinomult és rendkívül célzott hackerkampányát, amelyet egyes szakértők az iráni kormánnyal hoztak összefüggésbe - közölte a vállalat.
A "Tortoiseshell" néven ismert hackercsoport a Facebookot és más közösségi hálózatokat arra használta, hogy katonákat, valamint a védelmi- és repülőgépiparban dolgozókat rávegyen, töltsenek le egyedi rosszindulatú szoftvereket, amelyek kémkedtek az áldozatok után és ellopták az adataikat - olvasható a Facebook blogbejegyzésben.
"Ez a kampány nagyon célzott volt, és a csoport időt fektetett ezekbe a hamis személyiségekbe és a célpontok megértésébe" - mondta Mike Dvilyanski, a Facebook kiberkémkedési nyomozásokért felelős vezetője újságíróknak.
A Facebook kiberszakértői megállapították, hogy a hackerek kártevőinek egy részét az iráni Mahak Rayan Afraz informatikai vállalat fejlesztette ki, amely kapcsolatban áll az iráni Iszlám Forradalmi Gárdával. "Amennyire tudom, ez az első nyilvános hozzárendelése a csoport rosszindulatú szoftverének egy olyan szállítóhoz vagy fedőcéghez, amely kapcsolatban áll a Forradalmi Gárdával" - mondta Dvilyanski.
A Tortoiseshell hagyományosan közel-keleti IT-cégeket célzott meg. Dvilyanski szerint azonban 2020-ban átállt a repülőgépipari és védelmi cégekre, főként az Egyesült Államokban, de Európában és Nagy-Britanniában is. Ennek a hackerkampánnynak az az érdekessége, hogy a Tortoiseshell kevesebb mint 200 embert vett célba.
Miután a hackerek fejvadászoknak vagy ipari szakembereknek adták ki magukat, meggyőzték az áldozatokat, hogy látogassanak el ismerős domaineket utánzó rosszindulatú weboldalakra. Voltak, amelyek védelmi vállalatoknak szóltak, míg az egyik az amerikai munkaügyi minisztérium álláskereső oldalát hamisította. Más oldalak e-mail platformokat imitáltak, hogy begyűjtsék az áldozatok bejelentkezési adatait. Egyes esetekben a hackerek hónapokig beszéltek a célpontokkal.
A rosszindulatú oldalak közül sok információkat gyűjtöttek az áldozatok számítógépeiről, amelyek segítségével a hackerek az egyes áldozatokra szabott rosszindulatú szoftvereket tudtak eljuttatni - közölte a Facebook. A Tortoiseshellről ismert, hogy saját rosszindulatú szoftvereket fejleszt, beleértve a távoli hozzáférésű trójaiakat és a keyloggereket. A legutóbbi kampányban néha Microsoft Excel táblázatokba is bejuttattak rosszindulatú szoftvereket.
A Facebook szerint a hackerek esetenként olyan, korábban nem látott malware-ket használtak, amelyek a felderítő munkájuk eredményeit egy Excel-táblázat rejtett részében tárolták. A Facebook feltételezése szerint a behatolók azt tervezték, hogy becsapják a célpontjukat, hogy "elmentsék és visszaküldjék a fájlt".
Miután törölték a hackerek fiókjait, és megakadályozták, hogy a rosszindulatú linkek közzétételét, a Facebook értesítette a feltételezett áldozatokat, és megosztotta a technikai adatokat az iparági és bűnüldözési szervekkel.