Facebook Chine

Facebook est peut-être interdit en Chine, mais la société a déclaré mercredi qu’elle avait perturbé un réseau de mauvais acteurs utilisant sa plate-forme pour cibler la communauté ouïghoure et les inciter à télécharger des logiciels malveillants qui permettraient de surveiller leurs appareils.

«Ils ont ciblé des militants, des journalistes et des dissidents principalement parmi les Ouïghours du Xinjiang en Chine vivant principalement à l’étranger en Turquie, au Kazakhstan, aux États-Unis, en Syrie, en Australie, au Canada et dans d’autres pays», a déclaré Mike Dvilyanski, responsable des enquêtes sur le cyberespionnage de Facebook, et responsable de Politique de sécurité, Nathaniel Gleicher, mentionné. “Ce groupe a utilisé diverses tactiques de cyberespionnage pour identifier ses cibles et infecter leurs appareils avec des logiciels malveillants afin de permettre la surveillance.”

Le géant des médias sociaux a déclaré que «l’opération dotée de ressources suffisantes et persistante» était alignée sur un acteur de la menace Mauvais œil (ou Earth Empusa), un collectif basé en Chine connu pour son histoire d’attaques d’espionnage contre la minorité musulmane du pays au moins depuis août 2019 via des “sites Web stratégiquement compromis” en exploitant des appareils iOS et Android comme surface d’attaque pour accéder à Gmail comptes.

Les divulgations interviennent quelques jours après l’Union européenne, le Royaume-Uni, les États-Unis et le Canada sanctions annoncées conjointement contre plusieurs hauts fonctionnaires chinois pour violations des droits humains contre les Ouïghours dans la province chinoise du Xinjiang.

Evil Eye aurait recouru à une approche à multiples facettes pour rester en retrait et dissimuler son intention malveillante en se faisant passer pour des journalistes, des étudiants, des défenseurs des droits de l’homme ou des membres de la communauté ouïghoure pour établir la confiance avec les victimes ciblées avant de les inciter à cliquer sur des liens malveillants. .

Outre les efforts d’ingénierie sociale, le collectif a exploité un réseau de sites Web infestés de logiciels malveillants, à la fois des sites Web légitimement compromis et des domaines similaires pour les sites d’actualités populaires ouïghours et turcs, qui ont été utilisés comme point d’eau pour attirer et infecter de manière sélective les utilisateurs d’iPhone en fonction de certains critères techniques. , y compris l’adresse IP, le système d’exploitation, le navigateur, le pays et les paramètres de langue.

“Certaines de ces pages Web contenaient du code javascript malveillant qui ressemblait à des exploits précédemment signalés, qui installaient des logiciels malveillants iOS connus sous le nom de INSOMNIE sur les appareils des utilisateurs une fois qu’ils ont été compromis », a noté la société. Insomnia est livré avec des capacités d’exfiltrer les données d’une variété d’applications iOS, telles que les contacts, l’emplacement et iMessage, ainsi que les clients de messagerie tiers de Signal, WhatsApp, Telegram , Gmail et Hangouts.

Par ailleurs, Evil Eye a également mis en place des magasins d’applications Android tiers similaires pour publier des applications sur le thème des chevaux de Troie, telles qu’une application de clavier, une application de prière et une application de dictionnaire, qui ont servi de canal pour déployer deux souches de logiciels malveillants Android. ActionSpy et PluginPhantom. Une enquête plus approfondie sur les familles de logiciels malveillants Android a lié l’infrastructure d’attaque à deux sociétés chinoises Beijing Best United Technology Co., Ltd. (Best Lh) et Dalian 9Rush Technology Co., Ltd. (9Rush).

“Ces entreprises basées en Chine font probablement partie d’un réseau tentaculaire de fournisseurs, avec différents degrés de sécurité opérationnelle”, ont noté les chercheurs.

Dans une série de contre-mesures, la société a déclaré qu’elle avait bloqué le partage des domaines malveillants en question sur sa plate-forme, désactivé les comptes incriminés et informé environ 500 personnes ciblées par l’adversaire.

Ce n’est pas la première fois que Facebook sort des entreprises technologiques qui opèrent comme une façade pour les activités de piratage financées par l’État. En décembre 2020, le réseau social a officiellement lié OceanLotus à une société de technologie de l’information appelée CyberOne Group située au Vietnam.



Leave a Reply