Соціальних мережа використовується для розповсюдження шкідливого ПЗ, яке шпигує за уйгурами.

Facebook заявив, що зірвав хакерську операцію, в ході якої використовувалася їх платформа для поширення шкідливого ПЗ iOS і Android. Як виявилось, ПЗ шпигувало за уйгурськими людьми з регіону Синьцзян що у Китаї.

Шкідливі програми для обох мобільних ОС володіли розширеними можливостями, що дозволяли вкрасти практично все, що зберігається на пристрої. Хакери, яких дослідники пов’язали з групами, що працюють від імені уряду Китаю, впровадили шкідливе ПО на веб-сайти, відвідувані активістами, журналістами і дисидентами, які родом з Сіньцзяну.

«Це була добре забезпечена і наполеглива операція, ще і приховуючи, хто за нею стоїть», – написав в середу Майк Двілянскі, глава відділу розслідувань кібершпіонажу Facebook. Натаніель Глейхер, глава служби безпеки компанії – «На нашій платформі ця кампанія кібершпіонажу виявлялася в першу чергу у відправці посилань на шкідливі веб-сайти, а не у прямому поширенні самого шкідливого ПО».

Зараження iPhone роками

Хакери засівали веб-сайти своїм кодом JavaScript, який міг непомітно заражати цільові iPhone повнофункціональним шкідливим ПЗ, яке Google і компанія з безпеки Volexity представили в серпні 2019 року і в квітні минулого року. Хакери використовували безліч вразливостей iOS для установки шкідливої ​​програми, яку Volexity назвав – “Insomnia”. Дослідники називають хакерську групу “Earth Empusa”, “Evil Eye” або “PoisonCarp”.

Google сказав, що в той час, коли деякі з експлойтів використовувалися, вони були нульового дня, що означає, що вони були дуже цінними, тому що вони були невідомі Apple і більшості інших організацій по всьому світу. Ці вразливості працювали проти iPhone під управлінням iOS версій 10.x, 11.x, 12.0 і 12.1. Пізніше Volexity виявив експлойти, які працювали проти версій 12.3, 12.3.1 та 12.3.2. Загалом, хакери мали можливість заражати пристрої більше двох років! Пост від Facebook показує, що навіть після того, як дослідники викрили його, хакери залишилися активними.

Insomnia мала можливість отримувати дані з безлічі додатків iOS: контакти, GPS і iMessage, а також сторонніх пропозицій з Signal, WhatsApp, Telegram, Gmail та Hangouts. Щоб приховати злам і запобігти виявлення Insomnia, експлойти були доставлені тільки людям, які пройшли певні перевірки, включаючи IP-адреси, OSesd, браузер, а також налаштування країни та мови. Volexity надав наступну діаграму, щоб проілюструвати ланцюжок експлойтів, успішно заразити iPhone.

Розвинена мережа

Evil Eye використовував програми-підробки для зараження телефонів Android. Деякі сайти імітували сторонні магазини додатків для Android, де публікували програмне забезпечення актуальні для уйгурів. Після встановлення, трояни заражали пристрої одним із двох штамів шкідливого програмного забезпечення, одним з яких називають “ActionSpy”, а інший – “PluginPhantom”.

Facebook також назвав дві китайські компанії, які, за її словами, розробили деякі зловмисні програми для Android. “Ці Китайські фірми, швидше за все, є частиною мережі постачальників з різним ступенем оперативної безпеки”, – висказалися Двілянські і Глейхер у Facebook.

Чиновники китайського уряду рішуче заперечують, що причасні до хакерських кампаній про які говорять Facebook, Volexity, Google та інші організації.

Як би там не було, якщо ви не знаєте якихось уйгурських дисидентів, навряд чи вас зачепили ці хакерські операції.