Chinesische Hacker benutzten Facebook, um im Ausland lebende uigurische Muslime zu hacken

Cyber Security News

Facebook mag in China verboten sein, aber das Unternehmen sagte am Mittwoch, dass es ein Netzwerk von schlechten Akteuren unterbrochen hat, die seine Plattform nutzen, um die uigurische Gemeinschaft ins Visier zu nehmen und sie zum Herunterladen von Schadsoftware zu locken, die eine Überwachung ihrer Geräte ermöglicht.

“Sie zielten auf Aktivisten, Journalisten und Dissidenten ab, vor allem auf Uiguren aus Xinjiang in China, die hauptsächlich im Ausland in der Türkei, Kasachstan, den Vereinigten Staaten, Syrien, Australien, Kanada und anderen Ländern leben”, sagten Facebooks Head of Cyber Espionage Investigations, Mike Dvilyanski, und Head of Security Policy, Nathaniel Gleicher. “Diese Gruppe nutzte verschiedene Cyberspionage-Taktiken, um ihre Ziele zu identifizieren und ihre Geräte mit Malware zu infizieren, um eine Überwachung zu ermöglichen.”

Der Social-Media-Riese sagte, dass die “gut ausgestattete und hartnäckige Operation” mit einem Bedrohungsakteur verbunden war, der als Evil Eye (oder Earth Empusa) bekannt ist, ein in China ansässiges Kollektiv, das für seine Geschichte von Spionageangriffen gegen die muslimische Minderheit in der Nation mindestens seit August 2019 über “strategisch kompromittierte Websites” bekannt ist, indem es iOS- und Android-Geräte als Angriffsfläche ausnutzt, um Zugang zu Gmail-Konten zu erhalten.

Die Enthüllungen kommen Tage, nachdem die Europäische Union, Großbritannien, die USA und Kanada gemeinsam Sanktionen gegen mehrere hochrangige Beamte in China wegen Menschenrechtsverletzungen gegen Uiguren in der chinesischen Provinz Xinjiang angekündigt haben.

Evil Eye soll auf einen vielschichtigen Ansatz zurückgegriffen haben, um unterzutauchen und seine böswilligen Absichten zu verbergen, indem es sich als Journalisten, Studenten, Menschenrechtsanwälte oder Mitglieder der uigurischen Gemeinschaft ausgab, um Vertrauen bei den anvisierten Opfern aufzubauen, bevor es sie dazu brachte, auf bösartige Links zu klicken.

Neben den Social-Engineering-Bemühungen nutzte das Kollektiv ein Netzwerk von mit Malware verseuchten Websites, sowohl legitim kompromittierte Websites als auch ähnlich aussehende Domains für beliebte uigurische und türkische Nachrichtenseiten, die als Wasserstelle genutzt wurden, um iPhone-Benutzer anzulocken und selektiv zu infizieren, basierend auf bestimmten technischen Kriterien, einschließlich IP-Adresse, Betriebssystem, Browser, Land und Spracheinstellungen.

“Einige dieser Webseiten enthielten bösartigen Javascript-Code, der zuvor gemeldeten Exploits ähnelte, die iOS-Malware namens INSOMNIA auf den Geräten der Nutzer installierten, sobald diese kompromittiert waren”, so das Unternehmen. Insomnia ist in der Lage, Daten aus einer Vielzahl von iOS-Apps zu exfiltrieren, z. B. Kontakte, Standort und iMessage, sowie Messaging-Clients von Drittanbietern wie Signal, WhatsApp, Telegram, Gmail und Hangouts.

Unabhängig davon richtete Evil Eye auch ähnlich aussehende Android-App-Stores von Drittanbietern ein, um trojanisierte Anwendungen mit uigurischem Thema zu veröffentlichen, z. B. eine Tastatur-App, eine Gebets-App und eine Wörterbuch-App, die als Kanal für die Verbreitung der beiden Android-Malware-Stämme ActionSpy und PluginPhantom dienten. Weitere Untersuchungen der Android-Malware-Familien brachten die Angriffsinfrastruktur mit zwei chinesischen Unternehmen in Verbindung: Beijing Best United Technology Co., Ltd. (Best Lh) und Dalian 9Rush Technology Co., Ltd. (9Rush).

“Diese in China ansässigen Firmen sind wahrscheinlich Teil eines weit verzweigten Netzwerks von Anbietern mit unterschiedlichem Grad an Betriebssicherheit”, so die Forscher.

In einer Reihe von Gegenmaßnahmen, das Unternehmen sagte, es blockiert die bösartigen Domains in Frage von auf seiner Plattform geteilt werden, deaktiviert die beleidigenden Konten, und benachrichtigt etwa 500 Personen, die von dem Angreifer ins Visier genommen wurden.

Dies ist nicht das erste Mal, dass Facebook Technologiefirmen geoutet hat, die als Fassade für staatlich geförderte Hacking-Aktivitäten dienen. Im Dezember 2020 verknüpfte das soziale Netzwerk offiziell OceanLotus mit einem Informationstechnologie-Unternehmen namens CyberOne Group mit Sitz in Vietnam.

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com