Команда безопасности Facebook забанила учетные записи, связанные с вьетнамской хак-группой APT32, и сообщила, что группа использовала социальную сеть для распространения своей малвари.

«Наше расследование помогло связать данную активность с вьетнамской ИТ-компанией CyberOne Group (веб-сайт, страница в Facebook), также известной как CyberOne Security, CyberOne Technologies, Hành Tinh Company Limited, Planet and Diacauso», — пишут аналитики и отмечают, что связаться с представителями этой фирмы им не удалось.

По словам экспертов, APT32 действовала в Facebook, создавая учетные записи и страницы для вымышленных личностей (обычно выдавая себя за активистов или юридических лиц). От лица этих аккаунтов группа делилась различными ссылками со своими жертвами. Как правило, ссылки вели на взломанные домены и реже на домены, которые хакеры создали самостоятельно.

Переход по такой ссылке обычно приводил к фишинговой атаке или установке малвари, а порой ссылки даже вели на приложения для Android, которые группе удалось загрузить в официальный Play Store, чтобы шпионить за будущими жертвами.

Facebook пишет, что в основном группа была нацелена на:

  • вьетнамских правозащитников, как внутри страны, так и за рубежом;
  • иностранные правительства, в том числе в Лаосе и Камбодже;
  • неправительственные организации;
  • информационные агентства;
  • предприятия в сфере информационных технологий, гостиничного бизнеса, сельского хозяйства и товаров, медицины, розничной торговли, автомобильной промышленности и мобильных услуг.

Помимо бана учетных записей и страниц APT32, эксперты также заблокировали домены группы, поэтому их нельзя будет повторно использовать с новыми учетными записями, которые хакеры могут  создать в будущем.

Социальная сеть также поделилась со всеми правилами YARA и сигнатурами малвари группы, чтобы другие социальные сети и ИБ-специалисты тоже могли принять меры и защитить своих пользователей.

Напомню, что считается, что группа APT32 начала свою деятельность еще в 2014 году (также  ее часто называют OceanLotus), и теперь Facebook утверждает, что за APT32 стоит реальная ИБ-фирма из Вьентама. Однако насколько Facebook была точна в своей атрибуции, покажет лишь время.

Многие специалисты уже назвали действия Facebook неожиданными, так как доксинг правительственных хак-групп обычно является прерогативой правоохранителей или анонимных мстителей. К примеру, ранее за подобным было замечено только Министерство юстиции США и группа активистов  известная под названием IntrusionTruth.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии