Σε μια απροσδόκητη ανακοίνωση προχώρησε η ομάδα ασφαλείας του Facebook την Πέμπτη, λέγοντας πως έχει στοιχεία για την πραγματική ταυτότητα της hacking ομάδας APT32. Η APT32 είναι μια πολύ δραστήρια ομάδα, που λέγεται ότι συνδέεται με την κυβέρνηση του Βιετνάμ.
Το Facebook είπε ότι βρήκε κάποια στοιχεία, όταν ανακάλυψε ότι η APT32 χρησιμοποιούσε την πλατφόρμα του για τη διάδοση κακόβουλου λογισμικού με σκοπό τη μόλυνση των χρηστών.
“Η έρευνά μας συνέδεσε αυτήν τη δραστηριότητα με τη CyberOne Group, μια IT εταιρεία στο Βιετνάμ (που είναι, επίσης, γνωστή ως CyberOne Security, CyberOne Technologies, Hành Tinh Company Limited, Planet και Diacauso)“, δήλωσαν δύο στελέχη του Facebook.
Η εταιρεία δεν έχει σχολιάσει τις δηλώσεις του Facebook.
Η APT32 χρησιμοποιούσε το Facebook για να προσεγγίσει και να μολύνει χρήστες
Σύμφωνα με την πλατφόρμα κοινωνικής δικτύωσης, η APT32 δημιουργούσε λογαριασμούς και σελίδες για πλασματικά πρόσωπα, που συνήθως εμφανίζονταν ως ακτιβιστές ή επιχειρηματικές οντότητες.
Με διάφορους τρόπους, η ομάδα μοιραζόταν συχνά συνδέσμους με τους στόχους της, οι οποίοι οδηγούσαν σε phishing σελίδες και malware ή και σε κακόβουλες Android εφαρμογές, που η ομάδα είχε καταφέρει να ανεβάσει στο επίσημο Play Store. Οι εφαρμογές επέτρεπαν την κατασκοπεία των θυμάτων.
Με βάση τις γνώσεις του γι’ αυτήν την καμπάνια, το Facebook είπε ότι η ομάδα στόχευε κυρίως:
- Ακτιβιστές
- Ξένες κυβερνήσεις
- Μη-κυβερνητικές οργανώσεις
- Ειδησεογραφικά πρακτορεία
- Νοσοκομεία
- Αυτοκινητοβιομηχανία
- Υπηρεσίες κινητής τηλεφωνίας
- Λιανικό εμπόριο
- Εταιρείες τεχνολογίας και επιχειρήσεις που σχετίζονται με την φιλοξενία, τη γεωργία και τα βασικά προϊόντα
Το Facebook είπε ότι αφαίρεσε τους λογαριασμούς και τις σελίδες της APT32, και μπλόκαρε τα domains της, ώστε να μην μπορούν να επαναχρησιμοποιηθούν με νέους λογαριασμούς που ενδέχεται να δημιουργηθούν στο μέλλον.
Επίσης, η πλατφόρμα ενημέρωσε και τα υπόλοιπα κοινωνικά δίκτυα, ώστε να πάρουν μέτρα για την προστασία των χρηστών τους.
Η ομάδα APT32 είναι, επίσης, γνωστή ως OceanLotus και πιστεύεται ότι ξεκίνησε να λειτουργεί το 2014.
Οι περισσότεροι ειδικοί έχουν συνδέσει τις δραστηριότητές της με συμφέροντα της κυβέρνησης του Βιετνάμ.
Στο στόχαστρο των hackers έχουν βρεθεί κυβερνήσεις γειτονικών χωρών, αλλά και πολιτικοί αντιφρονούντες, ακτιβιστές και ιδιωτικές επιχειρήσεις.
Το 2019, η APT32 πραγματοποίησε πολλές επιθέσεις σε αυτοκινητοβιομηχανίες με σκοπό την κλοπή πνευματικής ιδιοκτησίας για την υποστήριξη της νεοσύστατης αυτοκινητοβιομηχανίας VinFast του Βιετνάμ. Η ομάδα είχε κλέψει δεδομένα από τις BMW, Hyundai, Toyota Australia, Toyota Japan και Toyota Vietnam. Οι επιθέσεις είχαν γίνει η μια μετά την άλλη, σε μικρό χρονικό διάστημα.
Επιπλέον, όταν η πανδημία του κορωνοϊού έπληξε τον κόσμο νωρίτερα αυτό το έτος, η APT32 επικεντρώθηκε επίσης στη συλλογή δεδομένων COVID-19.
Αυτή η ευελιξία στη στόχευση και η συνεχής δημιουργία νέων hacking εργαλείων είναι βασικό στοιχείο μιας έμπειρης ομάδας.
Σύμφωνα με το Facebook, αυτή η ευελιξία και εμπειρία προέρχονται από το γεγονός ότι πίσω από την APT32 βρίσκεται μια εταιρεία ασφάλειας στον κυβερνοχώρο, μια εταιρεία που εξακολουθεί να προσλαμβάνει προσωπικό ακόμη και σήμερα.
Οι ισχυρισμοί του Facebook θα εξεταστούν σίγουρα από τους ειδικούς. Ωστόσο, αναμένεται να υπάρχουν αντιδράσεις από τους κυβερνητικούς αξιωματούχους του Βιετνάμ αλλά και από ειδικούς στον τομέα της ασφάλειας.
Αυτές οι συνδέσεις hacking ομάδων με συγκεκριμένους φορείς γίνονται συνήθως από εισαγγελείς ή από ανώνυμους διαδικτυακούς ήρωες-τιμωρούς.
Οι εταιρείες ασφάλειας στον κυβερνοχώρο συνήθως δεν συνδέουν δημόσια ομάδες με κυβερνήσεις πόσο μάλλον με συγκεκριμένες υπηρεσίες πληροφοριών κλπ.
Αυτό γίνεται, κατά βάση, από το Υπουργείο Δικαιοσύνης των ΗΠΑ και μια ομάδα γνωστή ως IntrusionTruth.
Πηγή: ZDNet