Η Meta Platforms ανακοίνωσε πως έχει λάβει μέτρα για την αντιμετώπιση κακόβουλης δραστηριότητας spyware από οκτώ εταιρείες στην Ιταλία, την Ισπανία και τα Ηνωμένα Αραβικά Εμιράτα που είναι ενεργές στον τομέα της επιτήρησης προς ενοικίαση.
Τα ευρήματα αποτελούν μέρος της Έκθεσης Adversarial Threat Report για το τέταρτο τρίμηνο του 2023. Το spyware είχε ως στόχο συσκευές που λειτουργούν με iOS, Android και Windows.
Διαβάστε επίσης: ANY.RUN Sandbox: Επιτρέπει σε ομάδες SOC και DFIR να αναλύουν προηγμένο κακόβουλο λογισμικό Linux
Το κακόβουλο λογισμικό είχε τη δυνατότητα να συλλέγει και να έχει πρόσβαση σε πληροφορίες όπως την τοποθεσία, φωτογραφίες, επαφές, email, SMS και πολλά άλλα. Επιπλέον, μπορούσε να ενεργοποιεί λειτουργίες όπως μικρόφωνο, κάμερα και στιγμιότυπο οθόνης, όπως αναφέρθηκε από την εταιρεία.
Οι οκτώ εταιρείες είναι οι Cy4Gate/ELT Group, RCS Labs, IPS Intelligence, Variston IT, TrueL IT, Protect Electronic Systems, Negg Group και Mollitiam Industries.
Αυτές οι εταιρείες, υπό την Meta, εμπλέκονται επίσης σε δραστηριότητες απάτης, κοινωνικής μηχανικής και phishing που στόχευαν μια ευρεία γκάμα πλατφορμών όπως το Facebook, το Instagram, το X (πρώην Twitter), το YouTube, το Skype, το GitHub, το Reddit, το Google, το LinkedIn, το Quora, το Tumblr, το VK, το Flickr, το TikTok, το SnapChat, το Gettr, το Viber, το Twitch και το Telegram.
Συγκεκριμένα, ένα δίκτυο ψευδών προφίλ που συνδέεται με την RCS Labs, που ανήκει στην Cy4Gate, φέρεται να παραπλάνησε τους χρήστες ώστε να καταχωρήσουν τους αριθμούς τηλεφώνου και τις διευθύνσεις email τους, κάνοντας κλικ σε ψευτικούς συνδέσμους.
Ένα άλλο σύνολο λογαριασμών σε Facebook και Instagram που έχουν πλέον καταργηθεί σχετίζονται με τον Ισπανό προμηθευτή λογισμικού spyware Variston IT. Χρησιμοποιήθηκαν για ανάπτυξη και δοκιμή εκμετάλλευσης, συμπεριλαμβανομένης της κοινής χρήσης κακόβουλων συνδέσμων. Την περασμένη εβδομάδα, αναφέρθηκε ότι η εταιρεία κλείνει τις δραστηριότητές της.
Η Meta αναφέρθηκε στον εντοπισμό λογαριασμών που ανήκουν στον όμιλο Negg, οι οποίοι χρησιμοποιήθηκαν για να δοκιμάσουν το spyware τους, καθώς και στη Mollitiam Industries, μια ισπανική εταιρεία που προωθεί υπηρεσία συλλογής δεδομένων και λογισμικό υποκλοπής που απευθύνεται σε συστήματα Windows, macOS και Android, με σκοπό την απόσπαση δημόσιων πληροφοριών.
Ο γίγαντας των μέσων κοινωνικής δικτύωσης ενεργοποιήθηκε σε δίκτυα από την Κίνα, τη Μιανμάρ και την Ουκρανία, επιδεικνύοντας συντονισμένη μη αυθεντική συμπεριφορά (CIB) και αφαιρώντας πάνω από 2.000 λογαριασμούς, σελίδες και ομάδες από το Facebook και το Instagram.
Ενώ το κινεζικό σύμπλεγμα επικεντρωνόταν στο να επηρεάσει το αμερικανικό κοινό με περιεχόμενο που αφορούσε την κριτική των “Ηνωμένων Πολιτειών” στην εξωτερική πολιτική τους αναφορικά με την Ταϊβάν, το Ισραήλ, και την υποστήριξή τους προς την Ουκρανία, το δίκτυο από τη Μιανμάρ κατέθεσε προσπάθειες στους κατοίκους της με μοναδικά άρθρα που εξύμνησαν τον στρατό της Βιρμανίας και αποδυνάμωσαν τις εθνικές ένοπλες οργανώσεις και μειονεκτικές ομάδες.
Το τρίτο σύμπλεγμα ξεχωρίζει για τη χρήση ψεύτικων Σελίδων και Ομάδων για τη δημοσίευση περιεχομένου που υποστήριξε τον Ουκρανό πολιτικό Viktor Razvadovskyi. Επιπλέον, περιέχει “υποστηρικτικά σχόλια για την τρέχουσα κυβέρνηση και κριτικές για την αντιπολίτευση” στο Καζακστάν.
Η εξέλιξη φαίνεται να γίνεται μέσω της συνεργασίας μεταξύ κυβέρνησης και εταιρειών τεχνολογίας, συμπεριλαμβανομένης της Meta, που υπέγραψαν συμφωνία για τον περιορισμό της κατάχρησης εμπορικού spyware που προκαλεί παραβιάσεις των ανθρωπίνων δικαιωμάτων.
Διαβάστε περισσότερα: Κράτη και εταιρείες τεχνολογίας συνεργάζονται για την καταπολέμηση του spyware
Ως αντίποινα, η εταιρεία εισήγαγε νέες δυνατότητες, όπως η ενεργοποίηση του Control Flow Integrity (CFI) στο Messenger για Android και η απομόνωση μνήμης VoIP για το WhatsApp. Αυτές οι ενέργειες έγιναν με σκοπό να δυσκολέψουν την εκμετάλλευση και να μειώσουν τη συνολική επίθεσης.
Με βάση αυτά που αναφέρθηκαν, η βιομηχανία παρακολούθησης συνεχίζει να αναπτύσσεται σε πολλές μορφές. Τον προηγούμενο μήνα, το 404 Media — βασιζόμενο σε προηγούμενη έρευνα από το Irish Council for Civil Liberties (ICCL) τον Νοέμβριο του 2023 — αποκάλυψε ένα εργαλείο παρακολούθησης με την ονομασία Patternz, το οποίο εκμεταλλεύεται τα δεδομένα της πραγματικής ώρας (RTB) διαφήμισης που συλλέγονται από δημοφιλείς εφαρμογές όπως το 9gag, το Truecaller και το Kik για την παρακολούθηση των φορητών συσκευών.
Το Patternz επιτρέπει στις εθνικές υπηρεσίες ασφαλείας να χρησιμοποιούν σε πραγματικό χρόνο ιστορικό δεδομένων που προέρχονται από διαφημίσεις χρηστών για τον εντοπισμό, την παρακολούθηση και την πρόβλεψη ενεργειών των χρηστών, απειλών ασφαλείας και ευπαθειών, βασισμένα στη συμπεριφορά των χρηστών, τα μοτίβα τοποθεσίας και τα χαρακτηριστικά χρήσης κινητών τηλεφώνων.
Την προηγούμενη εβδομάδα, η Enea αποκάλυψε μια πρωτοφανή επίθεση στο δίκτυο κινητής τηλεφωνίας, γνωστή ως MMS Fingerprint, η οποία φέρεται να χρησιμοποιήθηκε από την NSO Group, δημιουργό του Pegasus. Αυτές οι πληροφορίες συμπεριλήφθηκαν σε μια σύμβαση του 2015 μεταξύ της εταιρείας και της ρυθμιστικής αρχής τηλεπικοινωνιών της Ghana.
Αν και η ακριβής μέθοδος που χρησιμοποιείται παραμένει μυστήρια, η σουηδική εταιρεία ασφάλειας τηλεπικοινωνιών υποπτεύεται ότι πιθανότατα χρησιμοποιεί το MM1_notification.REQ, ένα ειδικό είδος SMS που αποκαλείται δυαδικό SMS. Αυτό ειδοποιεί τη συσκευή παραλήπτη για ένα MMS που αναμένεται να ανακτηθεί από το Κέντρο Υπηρεσιών Μηνυμάτων Πολυμέσων (MMSC).
Ακολούθως, το MMS λαμβάνεται μέσω των MM1_retrieve.REQ και MM1_retrieve.RES. Το πρώτο είναι ένα αίτημα HTTP GET προς τη διεύθυνση URL που περιέχεται στο μήνυμα MM1_notification.REQ.
Ένα ενδιαφέρον σημείο, είναι η ενσωμάτωση πληροφοριών της συσκευής χρήστη, όπως το User-Agent (διαφορετικό από τη συμβολοσειρά User-Agent του προγράμματος περιήγησης ιστού) και το προφίλ x-wap, στο αίτημα GET, λειτουργώντας ως είδος αναγνωριστικού.
Σύμφωνα με τον Enea, ο παράγοντας χρήστη (MMS) είναι μια συμβολοσειρά που συνήθως προσδιορίζει το λειτουργικό σύστημα και τη συσκευή. Το x-wap-profile οδηγεί σε ένα αρχείο UAProf (Προφίλ παράγοντα χρήστη) που περιγράφει τις δυνατότητες μιας κινητής συσκευής.
Δείτε ακόμη: Το εργαλείο command-not-found του Ubuntu εγκαταθιστά κακόβουλα πακέτα
Ένας κακόβουλος παράγοντας που στοχεύει να αναπτύξει λογισμικό υποκλοπής spyware, μπορεί να εκμεταλλευτεί τις πληροφορίες για να επιτεθεί σε ευπαθή σημεία, να προσαρμόσει τις κακόβουλες λειτουργίες του στη συσκευή-στόχο ή ακόμα και να ενισχύσει τις καμπάνιες ηλεκτρονικού “ψαρέματος” (phishing). Ωστόσο, μέχρι στιγμής δεν υπάρχουν αναφορές για εκμετάλλευση αυτής της αδυναμίας ασφάλειας.
Πηγή: thehackernews.com
