Facebook ha comunicato di aver bloccato una campagna di spionaggio messa in atto da cybercriminali iraniani attraverso il social network. Il gruppo, noto come Tortoiseshell, ha distribuito malware con l’obiettivo di colpire soprattutto il personale militare e aziende che operano nel settore della difesa e dell’industria aeronautica. Le vittime risiedono principalmente negli Stati Uniti.
Facebook blocca gli spioni iraniani
Gli esperti di sicurezza dell’azienda di Menlo Park ha smantellato l’infrastruttura usata dal gruppo Tortoiseshell per compiere la loro campagna di cyberspionaggio, sfruttando la piattaforma del social network. I cybercriminali, finora noti per attacchi effettuati contro l’industria IT in Medio Oriente, hanno esteso la loro attività in altri regioni (Stati Uniti, Europa e Regno Unito).
Il gruppo ha usato varie tattiche per identificare le vittime, installare il malware e accedere ai dati sui dispositivi. Facebook era uno dei “vettori di attacco”, in quanto è stato sfruttato per ingannare gli utenti tramite social engineering e convincerli ad usare altre piattaforme (email, messaggistica, siti web), attraverso le quali è stato distribuito il malware.
Gli autori degli attacchi hanno creato diversi profili fasulli su Facebook e altri social media per guadagnare la fiducia delle vittime. Gli account sembrano essere di giornalisti, medici, organizzazioni non governative, dipendenti di aziende del settore aerospaziale. I link condivisi sui social portavano a falsi siti di reclutamento, uno dei quali era simile a quello usato dal Dipartimento del Lavoro. I link venivano anche inviati via email (phishing). Lo scopo era rubare le credenziali di login di vari account.
I cybercriminali hanno usato anche trojan per l’accesso remoto e keylogger, oltre ad una versione aggiornata del malware Syskit per Windows. Altri tipi di malware sono stati sviluppati in outsourcing da Mahak Rayan Afraz (MRA), un’azienda IT iraniana legata con il Corpo delle guardie della rivoluzione islamica. Facebook ha bloccato la condivisione dei link, chiuso gli account e contattato le possibili vittime.