Trois acteurs différents de la menace ont exploité des centaines de personnages fictifs élaborés sur Facebook et Instagram pour cibler des individus situés en Asie du Sud dans le cadre d’attaques disparates.
« Chacun de ces APT s’est fortement appuyé sur l’ingénierie sociale pour inciter les gens à cliquer sur des liens malveillants, à télécharger des logiciels malveillants ou à partager des informations personnelles sur Internet », a déclaré Guy Rosen, responsable de la sécurité des informations chez Meta, a dit. « Cet investissement dans l’ingénierie sociale signifiait que ces acteurs de la menace n’avaient pas à investir autant du côté des logiciels malveillants. »
Les faux comptes, en plus d’utiliser des leurres traditionnels comme des femmes à la recherche d’une relation amoureuse, se sont fait passer pour des recruteurs, des journalistes ou des militaires.
Au moins deux des efforts de cyberespionnage impliquait l’utilisation de logiciels malveillants peu sophistiqués avec des capacités réduites, probablement dans le but de contourner les contrôles de vérification des applications établis par Apple et Google.
L’un des groupes qui est passé sous le radar de Meta est un groupe de menace persistante avancée (APT) basé au Pakistan qui s’appuyait sur un réseau de 120 comptes sur Facebook et Instagram et sur des applications et des sites Web malveillants pour infecter le personnel militaire en Inde et au sein de l’armée de l’air pakistanaise. avec GravityRAT sous le couvert d’applications de stockage et de divertissement en nuage.
Le géant de la technologie a également supprimé environ 110 comptes sur Facebook et Instagram liés à un APT identifié comme Bahamut qui ciblait des militants, des employés du gouvernement et du personnel militaire en Inde et au Pakistan avec des logiciels malveillants Android publiés sur le Google Play Store. Les applications, qui se présentaient comme des applications de chat sécurisé ou VPN, ont depuis été supprimées.
Enfin, il a purgé 50 comptes sur Facebook et Instagram liés à un acteur de menace basé en Inde surnommé Patchwork, qui a profité d’applications malveillantes téléchargées sur le Play Store pour récolter des données de victimes au Pakistan, en Inde, au Bangladesh, au Sri Lanka, au Tibet et Chine.
Six réseaux antagonistes des États-Unis, du Venezuela, d’Iran, de Chine, de Géorgie, du Burkina Faso et du Togo sont également perturbés par les méta, qui se sont livrés à ce qu’ils ont appelé un « comportement inauthentique coordonné » sur Facebook et d’autres plateformes de médias sociaux comme Twitter, Telegram, YouTube, Moyen, TikTok, Blogspot, Reddit et WordPress.
Tous ces réseaux dispersés géographiquement auraient créé des marques de médias frauduleux, des groupes de hacktivistes et des ONG pour renforcer leur crédibilité, dont trois sont liés à une société de marketing basée aux États-Unis nommée Predictvia, un cabinet de conseil en marketing politique au Togo connu sous le nom de Groupe Panafricain pour le Commerce et l’Investissement (GPCI) et le Département de la communication stratégique de Géorgie.
Deux réseaux originaires de Chine exploitaient des dizaines de comptes, de pages et de groupes frauduleux sur Facebook et Instagram pour cibler les utilisateurs en Inde, au Tibet, à Taïwan, au Japon et dans la communauté ouïghoure.
Dans les deux cas, Meta a déclaré avoir supprimé les activités avant qu’elles ne puissent « construire une audience » sur ses services, ajoutant qu’elle avait trouvé des associations connectant un réseau à des personnes associées à une société informatique chinoise appelée Xi’an Tianwendian Network Technology.
Le réseau iranien, selon le géant des médias sociaux, a principalement distingué Israël, Bahreïn et la France, corroborant une évaluation antérieure de Microsoft sur l’implication de l’Iran dans le piratage du magazine satirique français Charlie Hebdo en janvier 2023.
« Les personnes derrière ce réseau ont utilisé de faux comptes pour publier, aimer et partager leur propre contenu afin de le rendre plus populaire qu’il ne l’était, ainsi que pour gérer des pages et des groupes se faisant passer pour des équipes hacktivistes », a déclaré Meta. « Ils ont également aimé et partagé les publications d’autres personnes sur des sujets de cybersécurité, susceptibles de rendre les faux comptes plus crédibles. »
Apprenez à arrêter les ransomwares avec une protection en temps réel
Rejoignez notre webinaire et découvrez comment arrêter les attaques de ransomwares dans leur élan grâce à la MFA en temps réel et à la protection des comptes de service.
La divulgation coïncide également avec une nouveau rapport de Microsoft, qui a révélé que les acteurs iraniens alignés sur l’État s’appuient de plus en plus sur des opérations d’influence cybernétique pour « renforcer, exagérer ou compenser les lacunes de leur accès au réseau ou de leurs capacités de cyberattaque » depuis juin 2022.
Le gouvernement iranien a été lié par Redmond à 24 opérations de ce type en 2022, contre sept en 2021, y compris des clusters suivis comme Moses Staff, Homeland Justice, Abraham’s Ax, Holy Souls et DarkBit. Dix-sept de ces opérations ont eu lieu depuis juin 2022.
Le fabricant de Windows a en outre déclaré avoir observé « plusieurs acteurs iraniens tentant d’utiliser la messagerie SMS en masse dans trois cas au cours du second semestre 2022, susceptibles d’améliorer l’amplification et les effets psychologiques de leurs opérations de cyber-influence ».
Le changement de tactique se caractérise également par l’exploitation rapide de failles de sécurité connues, l’utilisation de sites Web de victimes pour le commandement et le contrôle et l’adoption d’implants sur mesure pour éviter la détection et voler des informations aux victimes.
Les opérations, qui ont ciblé Israël et les États-Unis en représailles pour avoir prétendument fomenté des troubles dans le pays, ont cherché à renforcer la résistance palestinienne, à provoquer des troubles à Bahreïn et à contrer la normalisation des relations arabo-israéliennes.
