Facebook dice que interrumpió las actividades de dos grupos de hackers separados vinculados a Palestina que abusaron de su plataforma para llevar a cabo el ciberespionaje y distribuir malware.
Se cree que uno de los grupos de hackers tiene vínculos con el Servicio de Seguridad Preventiva (PSS), la organización de inteligencia interna de la Autoridad Palestina. Se dirigió principalmente a las víctimas en los territorios palestinos y Siria, en menor medida, atacaron Turquía, Irak, Líbano y Libia, dijo Facebook.
El grupo utilizó una variedad de herramientas maliciosas, incluyendo malware Android de compilación personalizada, el SpyNote Android RAT, así como malware de Windows (NJRat y HWorm) para espiar a los usuarios. Los piratas informáticos también utilizaron técnicas de ingeniería social para engañar a los objetivos para hacer clic en enlaces maliciosos e instalar malware en sus dispositivos.
"Este grupo utilizó cuentas falsas y comprometidas para crear personas ficticias haciéndose pasar por mujeres jóvenes, y también como partidarios de Hamas, Fatah, varios grupos militares, periodistas y activistas para generar confianza con las personas a las que atacaron y engañarlas para que instalaran software malicioso. Algunas de sus páginas fueron diseñadas para atraer a seguidores particulares para la ingeniería social posterior y la orientación de malware", dijo Facebook.
El otro grupo de hackers, Arid Viper, se dirigió principalmente a audiencias nacionales en Palestina, incluyendo funcionarios del gobierno, miembros del partido político Fatah, grupos estudiantiles y fuerzas de seguridad.
"Utilizó una infraestructura en expansión para soportar sus operaciones, incluyendo más de un centenar de sitios web que alojaban malware iOS y Android, intentaron robar credenciales a través de phishing o actuaron como servidores de comando y control, según Facebook.
Además del malware de Windows y Android, el grupo utilizó una herramienta de espionaje iOS hecha a medida, apodada Phenakite, que era capaz de robar datos confidenciales del usuario de iPhones sin jailbreaking los dispositivos antes del compromiso. El malware se entregó a través de una aplicación de chat troyano que utiliza el código realtimechat de código abierto para la funcionalidad legítima de la aplicación. Phenakite también podría dirigir a las personas a páginas de phishing para Facebook y iCloud para robar sus credenciales para esos servicios.
Facebook disrupts cyber-espionage campaign run by Palestinian hackers (cybersecurity-help.cz)
