Po marcovom záťahu proti čínskym hackerom, investigatívny tím Facebooku opäť zasahoval. Tentokrát odhalil aktivity nacionalistickej palestínskej skupiny Hamas a spravodajskej služby pod vedením Fatahu. Obe sa spoliehali na sociálne inžinierstvo.
APT skupina Arid Viper, ktorá patrí pod kybernetické krídlo Hamasu, podľa Facebooku do mobilov obetí dlhodobo nasádzala malvér na sledovanie či krádež dát.
Prvým krokom bolo vytvorenie falošných profilov ako podporovateľov Fatahu, vojakov, žurnalistov a podobne, aby si záškodníci získali dôveru obetí. Vďaka tomu ich doviedli k nainštalovaniu škodlivých aplikácií, prípadne nasmerovali na phishingové stránky.
„Pretože technologickú vyspelosť Arid Viper možno považovať za nízku až strednú, malo by toto rozšírenie spôsobilostí obrancom signalizovať, že iní protivníci nižšej úrovne môžu už mať alebo rýchlo vyvinúť podobné nástroje.“
Arid Viper rozširoval malvér určený pre systémy iOS aj Android. Pri oboch operačných systémoch sa škodlivé aplikácie vydávali najčastejšie za platformy na zoznamovanie a randenie.
V prípade iOS používal špecifický typ sledovacieho malvéru Phenakite, ktorého cieľom je získanie dát zo súkromných správ, fotografií, geografických lokácií, dokumentov či telefónnych záznamov.
Aby mohol Phenakite prekonať bezpečnostné opatrenia jabĺčkového mobilu a získať prístup k dátam, spolu s malvérom sa stiahne aj softvér Osiris. Ten je určený na tzv. jailbreak, obídenie bezpečnostných kontrol zariadenia pomocou vývojárskych oprávnení.
Cielia na vládu aj aktivistov
Podľa údajov Facebookového tímu sú obeťami útokov Arid Viper predovšetkým zástupcovia palestínskej vlády, bezpečnostných zborov, členovia vládnej strany Fatah, študentský spolok Fatah či iné vládne strany.
Presný rozsah obetí oboch kampaní nie je známy. Podarilo sa však odhaliť celkovo desať malvérov pre Android, dva pre iOS, osem pre počítače, celkovo 41 phishingových stránok a ďalších 179 škodlivých domén.
Facebook v odpovedi zrušil Facebookové a Instagramové účty patriace skupine Arid Viper. Identifikované hashe a škodlivé domény zverejnil a upozornil užívateľov, ktorí mohli byť cieľom škodlivých aktivít.
Špehujú aj inštitúcie
Facebook údajne po prvýkrát zdokumentoval aj kybernetickú kampaň Palestínskej preventívnej bezpečnostnej služby (PSS). Spravodajská služba je verná prezidentovi Mahmoudovi Abbasovi a jej riaditeľom je člen vládnej strany Fatah.
Škodlivé praktiky PSS používa proti žurnalistom, aktivistom či vojenským skupinám sýrskej opozície a irackej armády. Podobne ako Arid Viper nabáda obete k stiahnutiu škodlivého softvéru.
Šírený malvér dokáže zo zariadení zbierať metadáta o hovoroch, správach, polohe či kontaktoch. Investigatívci zaznamenali aj využitie nástroja na zaznamenávanie stlačených kláves, tzv. keylogger.
Facebook sa vyjadril, že kampaň PSS nie je dlhodobá, avšak za posledný polrok sa mala zintenzívniť. Organizácia mala celkovo nasadiť asi 300 falošných alebo kompromitovaných účtov a zamerala sa na približne 800 ľudí.
Michael Andruch, Kristína Urbanová