Σύμφωνα με ερευνητές, το Facebook έχει χρησιμοποιηθεί από hackers, ως πλατφόρμα διανομής Trojans Remote Access (RAT), από το 2014.
Η έρευνα από την Check Point έδειξε ότι η συγκεκριμένη hacking εκστρατεία “μεγάλης κλίμακας” σχετίζεται με πολιτικά θέματα στη Λιβύη.
Ο στόχος της εκστρατείας ήταν η διάδοση RAT, και κυρίως των Houdini, Remcos και SpyNote. Σύμφωνα με τους ερευνητές, τα θύματα προέρχονταν κυρίως από τη Λιβύη, την Ευρώπη, τις ΗΠΑ και την Κίνα. Υπολογίζεται ότι έχουν επηρεαστεί δεκάδες χιλιάδες συστήματα.
Ο hacker, που κρύβεται πίσω από την εκστρατεία, χρησιμοποίησε την πολιτική αναταραχή στη Λιβύη προς όφελός τους. Ο hacker διαχειριζόταν μια σελίδα στο Facebook, η οποία υποτίθεται ότι ανήκε στον διοικητή του Εθνικού Στρατού της Λιβύης, Khalifa Haftar, και, μέσω αυτής, εξάπλωνε τα κακόβουλα λογισμικά.
Η σελίδα, που δημιουργήθηκε τον Απρίλιο του 2019, ήταν πολύ πειστική, με αποτέλεσμα να έχει προσελκύσει πάνω από 11.000 οπαδούς του Haftar. Τα posts, που ανέβαιναν στη σελίδα, είχαν συνήθως πολιτικό περιεχόμενο και περιείχαν συνδέσμους με εκθέσεις και υλικό, που υποτίθεται ότι είχε διαρρεύσει και αφορούσε θέματα της Λιβύης. Στην πραγματικότητα, αν άνοιγε κάποιος τους συνδέσμους, οδηγούνταν σε κακόβουλο περιεχόμενο.
Το άνοιγμα των συνδέσμων οδηγούσε στη λήψη κακόβουλων αρχείων VBE και WSF για Windows υπολογιστές και αρχείων APK με κακόβουλο λογισμικό για το λειτουργικό σύστημα Android. Η εκτέλεση των κακόβουλων αρχείων οδηγούσε, με τη σειρά της, στην εγκατάσταση Trojan.
Το κακόβουλο πρόγραμμα φιλοξενούνταν σε δημόσιες υπηρεσίες, όπως τα Google Drive, Box και Dropbox.
Μετά την ανακάλυψη αυτής της σελίδας, βρέθηκαν και πολλές άλλες σελίδες, ομάδες και λογαριασμοί τόσο εντός όσο και εκτός του Facebook, οι οποίες, επίσης, χρησιμοποιούνταν για τη διανομή κακόβουλου λογισμικού.
Στο Facebook , υπήρχαν πάνω από 30 σελίδες, που έχουν μοιράσει περίπου 40 κακόβουλα links, από το 2014. Μάλιστα, ένα από αυτά έχει επηρεάσει πάνω από 100.000 χρήστες.
Οι ερευνητές θεωρούν ότι ο επιτιθέμενος μπορεί να έχει πάρει τον έλεγχο και ορισμένων δημοφιλών, νόμιμων σελίδων και να τις χρησιμοποιεί προς όφελος του.
Για να μην κινήσει υποψίες, ο hacker μπορεί να δημοσιεύει και νόμιμο περιεχόμενο, σχετικό με νέα της Λιβύης. Ανάμεσα στο νόμιμο περιεχόμενο θα υπάρχουν και σύνδεσμοι, που οδηγούν σε ψεύτικες εφαρμογές και κακόβουλες υπηρεσίες.
Οι ερευνητές εντόπισαν τον επιτιθέμενο μέσω ενός command-and-control server (C2), που φιλοξενούσε και μοίραζε κακόβουλα payloads. Έτσι οδηγήθηκαν στον “Dexter Ly”, σε έναν λογαριασμό στο Facebook, που σύμφωνα με την ομάδα, ανήκει στον hacker.
Ο Dexter Ly φαίνεται να έχει συμμετάσχει και σε άλλες επιθέσεις, που είχαν στόχο την κλοπή εμπιστευτικών πληροφοριών σχετικά με τη Λιβύη.
“Αν και ο επιτιθέμενος δεν υποστηρίζει ένα πολιτικό κόμμα ή κάποια από τις αντιτιθέμενες πλευρές στη Λιβύη, οι πράξεις του φαίνεται να υποκινούνται από πολιτικά γεγονότα”, είπαν οι ερευνητές. “Αυτό μπορεί να σημαίνει ότι ο επιτιθέμενος στοχεύει συγκεκριμένα άτομα”.
Οι ερευνητές ενημέρωσαν το Facebook για τα ευρήματά τους και η πλατφόρμα αφαίρεσε όλες τις σχετικές σελίδες και τους λογαριασμούς.
Ένας εκπρόσωπος του Facebook δήλωσε:
“Αυτές οι σελίδες και οι λογαριασμοί παραβίασαν τις πολιτικές μας, γι’ αυτό τα καταργήσαμε μετά την αναφορά των ερευνητών της Check Point. Προσπαθούμε να κρατήσουμε μακριά από το Facebook τις κακόβουλες δραστηριότητες και ενθαρρύνουμε τους ανθρώπους να είναι σε εγρήγορση και να μην κάνουν κλικ σε ύποπτους συνδέσμους”.
