Команда безопасности Facebook забанила учетные записи, связанные с вьетнамской хак-группой APT32, и сообщила, что группа использовала социальную сеть для распространения своей малвари.
«Наше расследование помогло связать данную активность с вьетнамской ИТ-компанией CyberOne Group (веб-сайт, страница в Facebook), также известной как CyberOne Security, CyberOne Technologies, Hành Tinh Company Limited, Planet and Diacauso», — пишут аналитики и отмечают, что связаться с представителями этой фирмы им не удалось.
По словам экспертов, APT32 действовала в Facebook, создавая учетные записи и страницы для вымышленных личностей (обычно выдавая себя за активистов или юридических лиц). От лица этих аккаунтов группа делилась различными ссылками со своими жертвами. Как правило, ссылки вели на взломанные домены и реже на домены, которые хакеры создали самостоятельно.
Переход по такой ссылке обычно приводил к фишинговой атаке или установке малвари, а порой ссылки даже вели на приложения для Android, которые группе удалось загрузить в официальный Play Store, чтобы шпионить за будущими жертвами.
Facebook пишет, что в основном группа была нацелена на:
- вьетнамских правозащитников, как внутри страны, так и за рубежом;
- иностранные правительства, в том числе в Лаосе и Камбодже;
- неправительственные организации;
- информационные агентства;
- предприятия в сфере информационных технологий, гостиничного бизнеса, сельского хозяйства и товаров, медицины, розничной торговли, автомобильной промышленности и мобильных услуг.
Помимо бана учетных записей и страниц APT32, эксперты также заблокировали домены группы, поэтому их нельзя будет повторно использовать с новыми учетными записями, которые хакеры могут создать в будущем.
Социальная сеть также поделилась со всеми правилами YARA и сигнатурами малвари группы, чтобы другие социальные сети и ИБ-специалисты тоже могли принять меры и защитить своих пользователей.
Напомню, что считается, что группа APT32 начала свою деятельность еще в 2014 году (также ее часто называют OceanLotus), и теперь Facebook утверждает, что за APT32 стоит реальная ИБ-фирма из Вьентама. Однако насколько Facebook была точна в своей атрибуции, покажет лишь время.
Многие специалисты уже назвали действия Facebook неожиданными, так как доксинг правительственных хак-групп обычно является прерогативой правоохранителей или анонимных мстителей. К примеру, ранее за подобным было замечено только Министерство юстиции США и группа активистов известная под названием IntrusionTruth.
