Nuova Delhi, 5 agosto (IANS) Meta (ex Facebook) ha represso un'operazione di spionaggio informatico collegata a malintenzionati sponsorizzati dallo stato in Pakistan che ha preso di mira persone in India, inclusi funzionari militari e governativi, con vari metodi come la cattura del miele e l'infiltrazione di malware nei loro dispositivi.
Oltre all'India, il gruppo di hacker in Pakistan – noto nel settore della sicurezza come APT36 – ha preso di mira persone in Afghanistan, Pakistan, Emirati Arabi Uniti e Arabia Saudita, secondo il rapporto trimestrale “Adversarial Threat Report” di Meta.
"La nostra indagine ha collegato questa attività ad attori legati allo stato in Pakistan", ha detto Meta.
L'attività del gruppo è stata persistente e ha preso di mira molti servizi su Internet, dai provider di posta elettronica ai servizi di file hosting ai social media.
“APT36 ha utilizzato varie tattiche dannose per prendere di mira le persone online con l'ingegneria sociale per infettare i loro dispositivi con malware. Hanno utilizzato una combinazione di collegamenti dannosi e camuffati e app false per distribuire il loro malware mirato a dispositivi Android e Windows", ha avvertito il social network. .
APT36 ha utilizzato personaggi di fantasia - fingendosi reclutatori per aziende legittime e false, personale militare o giovani donne attraenti che cercano di stabilire una relazione romantica - nel tentativo di creare fiducia con le persone prese di mira.
Il gruppo ha implementato un'ampia gamma di tattiche, incluso l'uso di un'infrastruttura personalizzata, per diffondere il proprio malware.
"Alcuni di questi domini hanno impersonato siti Web di condivisione di foto o app store generici, mentre altri hanno impersonato domini aziendali reali come Google Play Store, Microsoft OneDrive e Google Drive", indica il rapporto Meta.
Inoltre, questo gruppo ha utilizzato servizi di condivisione file comuni come WeTransfer per ospitare malware per brevi periodi di tempo.
Gli attori con sede in Pakistan hanno anche utilizzato servizi di accorciamento dei collegamenti per mascherare URL dannosi.
Hanno utilizzato mappe sociali e siti di anteprima – strumenti online utilizzati nel marketing per personalizzare l'immagine visualizzata quando un determinato URL viene condiviso sui social media – per nascondere il reindirizzamento e la proprietà dei domini controllati da APT36.
"APT36 non ha condiviso direttamente malware sulle nostre piattaforme, ma ha invece utilizzato la tattica per condividere collegamenti dannosi a siti che controllavano e dove ospitavano malware", ha affermato Meta.
In diversi casi, questo gruppo ha utilizzato una versione modificata del malware Android noto come "XploitSPY" disponibile su Github.
Mentre "XploitSPY" sembra essere stato originariamente sviluppato da un gruppo di hacker etici autodichiarati in India, APT36 ha apportato modifiche per produrre una nuova variante di malware chiamata "LazaSpy".
Meta ha scoperto che in questa recente operazione, APT36 disponeva anche di versioni trojanizzate (non ufficiali) di WhatsApp, WeChat e YouTube con un'altra famiglia di malware nota come Mobzsar o CapraSpy.
"Entrambe le famiglie di malware sono in grado di accedere a registri delle chiamate, contatti, file, messaggi di testo, geolocalizzazione, informazioni sul dispositivo, foto e attivazione del microfono", indica il rapporto.
Meta ha anche rimosso una rete di brigate in India, una rete di segnalazione di massa in Indonesia e ha coordinato reti di violazione in Grecia, India e Sud Africa.
Il brigadiere è una tecnica in cui gruppi di persone si coordinano per molestare le persone sulle piattaforme Meta nel tentativo di intimidirle e metterle a tacere.
