Facebook unterbricht Spionageversuch, der auf Uiguren abzielt

Cyber Security News

Der Social-Media-Riese hat Legionen von gefälschten Profilen ausgeschaltet, die darauf abzielten, Spionage-Malware zu verbreiten.

Facebook hat es mit einer Gruppe von Hackern in China aufgenommen, die die ethnische Gruppe der Uiguren mit Cyberspionage-Aktivitäten ins Visier nehmen.

Die Hackergruppe, bekannt als Earth Empusa oder Evil Eye, hatte es auf Aktivisten, Dissidenten und Journalisten abgesehen, die in der uigurischen Gemeinschaft engagiert sind, vor allem auf diejenigen, die im Ausland leben, unter anderem in Australien, Kanada, Kasachstan, Syrien, der Türkei und den Vereinigten Staaten, indem sie gefälschte Facebook-Konten für fiktive Personen, die mit der uigurischen Gemeinschaft sympathisieren, verwendet haben. Facebook sagte am Mittwoch, dass die Gruppe bösartige Links in Facebook-Nachrichten verschickte, die, wenn sie angeklickt wurden, zu spionageorientierten Malware-Infektionen führten.

Die bösartigen Links führten laut Facebook zu ähnlich aussehenden Domains für beliebte uigurische und türkische Nachrichtenseiten sowie zu kompromittierten legitimen Websites.

“Einige dieser Webseiten enthielten bösartigen JavaScript-Code, der zuvor gemeldeten Exploits ähnelte, die iOS-Malware namens Insomnia auf den Geräten der Nutzer installierten, sobald diese kompromittiert wurden”, schrieben Mike Dvilyanski, Leiter der Cyberspionage-Untersuchungen, und Nathaniel Gleicher, Leiter der Sicherheitsrichtlinien, in einem gemeinsamen Facebook-Posting.

Dies alles wurde mit selektivem Targeting durchgeführt, so das Posting: “Diese Gruppe unternahm Schritte, um ihre Aktivitäten zu verbergen und bösartige Tools zu schützen, indem sie Menschen nur dann mit iOS-Malware infizierte, wenn sie bestimmte technische Prüfungen bestanden, einschließlich IP-Adresse, Betriebssystem, Browser sowie Länder- und Spracheinstellungen.”

Android-Malware-Angriffe

Facebook nahm die gefälschten Profile herunter, fand aber auch von der Gruppe eingerichtete Websites, die Android-App-Stores von Drittanbietern imitieren, auf denen sie Anwendungen mit uigurischem Thema veröffentlichten. Dazu gehörten laut dem Posting eine Tastatur-App, eine Gebets-App und eine Wörterbuch-App, die mit zwei Android-Malware-Stämmen – ActionSpy oder PluginPhantom – trojanisiert waren.

Die Uiguren, eine türkische ethnische Minderheit in Zentral- und Ostasien, waren bereits zuvor Ziel anderer mobiler Spyware-Angriffe, einschließlich einer ActionSpy-Kampagne, die erst im Juni beobachtet wurde.

Die Analyse der neuesten Android-Malware ergab, dass Beijing Best United Technology Co. und Dalian 9Rush Technology Co. die Entwickler hinter einigen der von Earth Empusa eingesetzten Tools sind, so Facebook.

“Diese in China ansässigen Firmen sind wahrscheinlich Teil eines weit verzweigten Netzwerks von Anbietern mit unterschiedlichem Grad an operativer Sicherheit”, schrieben die beiden und fügten hinzu, dass FireEye Erkenntnisse über Bedrohungen zur Verfügung stellt, die Facebooks Einschätzung untermauern.

“FireEye hat eine Operation aufgedeckt, die auf die uigurische Gemeinschaft und andere chinesisch sprechende Menschen abzielt, und zwar mittels bösartiger mobiler Anwendungen, die darauf ausgelegt sind, umfangreiche persönliche Daten der Opfer zu sammeln, darunter GPS-Standort, SMS, Kontaktlisten, Screenshots, Audiodaten und Tastenanschläge”, so Ben Read, Director of Analysis bei Mandiant Threat Intelligence, per E-Mail. “Diese Operation ist seit mindestens 2019 aktiv und darauf ausgelegt, langfristig auf den Telefonen der Opfer zu verbleiben, was es den Betreibern ermöglicht, große Mengen an persönlichen Daten zu sammeln.”

Er fügte hinzu, dass FireEye glaubt, dass die Aktivität staatlich gesponsert ist. “Bei mehreren Gelegenheiten haben chinesische Cyberspionage-Akteure mobile Malware eingesetzt, um Uiguren, Tibeter, Demokratieaktivisten aus Hongkong und andere, die als Bedrohung für die Stabilität des Regimes gelten, ins Visier zu nehmen”, sagte er.

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Veranstaltungen an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 21. April: Unterirdische Märkte: Ein Rundgang durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com