Cyberszpiegostwo w Afganistanie i Syrii. Kto kogo inwigiluje?

Zespół specjalistów firmy Meta (dawniej Facebook) przekazał informacje o podjęciu stanowczych kroków przeciwko czterem różnym grupom hakerskim w Pakistanie oraz Syrii, które prowadziły aktywne działania w ostatnich kilku miesiącach.

W celu zakłócenia ich wrogich operacji, członkom grup zablokowano konta, zawiadomiono partnerów koncernu o wrogich operacjach, a także zaalarmowano osoby, które - zdaniem Mety - padły ofiarą hakerów. Miało to miejsce w październiku br.

Po przejęciu władzy przez tablibów

Jedną z grup, o których mówią specjaliści jest pakistańska „SideCopy”. Prowadziła ona kampanie wymierzone w użytkowników powiązanych z poprzednimi władzami w Afganistanie.

„Mając na uwadze trwający kryzys i upadek rządu (przejęcie władzy przez talibów – przyp. red.), szybko podjęliśmy działania na rzecz ochrony użytkowników naszej platformy, podzielenia się naszymi odkryciami z partnerami, w tym organami ścigania, oraz zaalarmowania osób, które według nas były celem” – wskazują specjaliści Mety.

O czym konkretnie mówimy? Zdaniem ekspertów, chodzi o „szkodliwą działalność”, która nosiła znamiona „dobrze przygotowanej i trwałej operacji”. Jej autorzy przywiązywali dużą uwagę do tego, aby ją skutecznie ukryć.

Meta mówi wprost o kampanii cyberszpiegowskiej, której nasilenie nastąpiło w okresie kwiecień-sierpień br. Potencjalnym ofiarom udostępniano linki do zainfekowanych stron internetowych, które były nośnikiem złośliwego oprogramowania.

Grupa stworzyła także fikcyjne profile – z reguły młodych kobiet – aby za ich pomoc „zwabiać” mniej czujnych użytkowników. Głównym zamiarem była chęć zbudowania zaufania, a następnie skłonienie ofiary do kliknięcia w załącznik lub link.

Co więcej, osoby stojące za kampanią prowadziły także fałszywe sklepy internetowe z aplikacjami. Ponadto, hakerzy dokonywali włamań na wiarygodne witryny, aby hostować złośliwe domeny.

Wszystko to miało skłonić użytkowników do zainstalowania na ich urządzeniach programów zawierających trojany. Niektóre z nich podszywały się pod popularne komunikatory, jak Signal. Wirusy pozwalały na pobieranie listy kontaktów, wiadomości, dzienników połączeń, lokalizacji, plików i metadanych urządzenia.

Z ramienia wywiadu wojskowego Syrii

Z kolei w Syrii specjaliści podjęli działania przeciwko trzem grupom hakerskim, związanym z lokalnym rządem. Jedną z nich jest „Syrian Electronic Army” (APT-C-27), atakująca obrońców praw człowieka, dziennikarzy oraz inne zbiorowości sprzeciwiające się reżimowi. „Powiązaliśmy te działania z wywiadem sił powietrznych Syrii” – wskazuje Meta.

W ramach platformy społecznościowej Facebook dochodziło do ataków na użytkowników przy wykorzystaniu taktyk socjotechnicznych. Sprawcom zależało na nakłonieniu potencjalnych ofiar do klikania w linki do stron phishingowych lub pobrania pliku zawierającego wirusa.

Na potrzeby kampanii APT-C-27 stworzyło „strojanizowane aplikacje” przypominające popularne programy do np. komunikacji, takie jak Telegram.

Wirus rozpowszechniany przez grupę umożliwia zbieranie wielu poufnych informacji o użytkowniku. Pozwala m.in. na nagrywanie wideo czy dźwięku, pobieranie lub edytowanie plików, dzienników połączeń, kontaktów i wiadomości.

Uderzenie w byłych wojskowych

Druga grupa, znana w środowisku jako APT-C-37, prowadziła operacje wymierzone w osoby powiązane z Wolną Armią Syrii oraz byłym personelem wojskowym, który obecnie zasilił szeregi opozycji. Analiza wykazała związki między hakerami a syryjskim wywiadem sił powietrznych.

Ta kampanie również bazowała na stosowaniu socjotechniki w ramach Facebooka (platformy), aby nakłonić użytkowników do klikania w linki lub pobierania plików z załączników.

Dla zwiększenia skuteczności działań, atakujący tworzyli witryny, które skupiały się m.in. na islamie. Inne z kolei przypominały tradycyjne sklepy z aplikacjami, bądź podszywały się pod domeny popularnych usług, w tym m.in. Telegrama, Facebooka, YouTube’a czy WhatsAppa.

Celem opozycja

Działalność ostatniej grupy w Syrii, wobec której specjaliści podjęli stanowcze ruchy, została powiązana z lokalnym rządem. Skupiała się na kampaniach ukierunkowanych na aktywistów, mniejszości narodowe, opozycję, kurdyjskich dziennikarzy, przedstawicieli Ludowych Jednostek Ochrony (YPG) oraz syryjskiej obrony cywilnej lub Białych Chełmów (ochotniczej organizacji humanitarnej).

Sposób działania grupy nie różnił się od tych, stosowanych w wyżej wskazanych kampaniach. Trzon stanowiła socjotechnika oraz rozpowszechnianie zainfekowanych załączników oraz linków.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.