Gli esperti di sicurezza di Facebook hanno interrotto una campagna di hacking eseguita da un gruppo di cybercriminali cinesi, noto come Earth Empusa, Evil Eye o PoisonCarp. Sfruttando la piattaforma del social network avevano eseguito una serie di attacchi contro la comunità uiguri, una minoranza etnica della regione dello Xinjiang perseguitata dal governo.
Facebook contro cybercriminali cinesi
Facebook spiega che i bersagli degli attacchi erano giornalisti, attivisti e dissidenti uiguri che vivono in Turchia, Kazakistan, Stati Uniti, Siria, Australia, Canada e altri paesi. I cybercriminali cinesi hanno utilizzato varie tecniche di spionaggio informatico per identificare gli obiettivi e infettare i loro dispositivi con malware che consentono la sorveglianza. Facebook ha in particolare notato che la maggioranza degli attacchi è avvenuto attraverso l’invio di link a siti infetti.
I cybercriminali hanno innanzitutto identificato i target in base all’indirizzo IP, al paese, alla lingua impostata, al browser e al sistema operativo. È stato quindi eseguito un attacco “watering hole” contro siti molto visitati dagli uiguri. All’interno delle pagine web è stato nascosto un codice JavaScript che, sfruttando alcune vulnerabilità di iOS, installa sullo smartphone il malware Insomnia. Quest’ultimo è un tool di spionaggio che raccoglie numerosi dati dalle app iOS, tra cui posizione geografica (GPS), contatti e messaggi.
Per convincere le vittime a visitare i siti infetti sono stati creati account fake su Facebook vicini alla comunità uiguri. Dopo aver guadagnato la loro fiducia, i cybercriminali hanno convito gli utenti a cliccare sui link contenuti nei post. Gli attacchi sono stati effettuati anche tramite app Android contenenti trojan e spyware. Facebook ha bloccato la condivisione dei link, chiuso gli account e avvisato le potenziali vittime.