venerdì 5 luglio 2019

Check Point, Operazione Tripoli su Facebook: infettati 50.000 utenti


Una ampia campagna malevola in grado di diffondere malware attraverso alcune pagine del social network. Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies, società israeliana specializzata in sicurezza informatica, si è recentemente imbattuta in una campagna malevola su larga scala che, per anni, ha sfruttato alcune pagine Facebook per diffondere un malware in ambienti mobile e desktop, con un solo obiettivo: la Libia. Quella che è stata definita Operazione Tripoli ha portato alla rimozione di 30 pagine Facebook e all’infezione di 50mila utenti.

Sembra che la difficile situazione politica in Libia sia utile agli hacker per attirare le vittime e indurle a cliccare sui link e far scaricare loro dei file che dovrebbero contenere informazioni sull'ultimo attacco aereo nel paese, o sulla cattura dei terroristi, ma che invece contengono malware. L'Operazione Tripoli è iniziata quando Check Point ha notato che una pagina Facebook apparteneva al comandante dell'Esercito Nazionale Libico (LNA), Khalifa Haftar, uomo forte della Cirenaica. Oltre ad essere "maresciallo di campo", Haftar è una figura di spicco nell'arena politica libica e ha avuto un ruolo importante come leader militare nella guerra civile in corso nel paese.

Lanciando un'offensiva, chiamata operazione Dignità, le forze di Haftar hanno conquistato quasi tutto l'est del paese. Attraverso questa pagina Facebook, Check Point ha individuato questa attività dannosa risalendo fino al responsabile, scoprendo come gli hacker avessero sfruttato per anni la piattaforma di social networking, compromettendo siti web legittimi per ospitare malware e, alla fine, raggiungere decine di migliaia di vittime basati principalmente in Libia, ma anche in Europa, Stati Uniti e Canada. Sulla base di queste informazioni condivise, Facebook ha bloccato le pagine e gli account (oltre 30) che hanno distribuito gli attacchi dannosi legati a questa operazione.


Come in molte altre campagne di questi giorni, il malware associato a queste pagine era solitamente ospitato su servizi di condivisione di file come Dropbox, Google Drive e Box. Gli utenti di Facebook su dispositivi mobili e desktop che hanno fatto clic sui link malevoli hanno finito per scaricare una serie di strumenti di amministrazione remota noti utilizzati per spiare e rubare dati. L'indagine di Check Point sulla falsa pagina Facebook di Khalifa Haftar mostra che l'individuo dietro di esso distribuiva link malevoli attraverso più di 30 altre pagine di Facebook almeno dal 2014. Alcune pagine avevano decine e persino centinaia di migliaia di follower. Una, ad esempio, aveva quasi 140.000 follower.

Da sottolineare come, sebbene l'insieme di strumenti utilizzati dall'hacker non sia né avanzato né impressionante di per sé, l'uso di contenuti su misura, siti web legittimi e pagine altamente attive con molti follower ha reso molto più facile l'infezione potenziale di migliaia di vittime. Per esempio, il materiale sensibile condiviso sul profilo "Dexter Ly" implica che l'hacker è riuscito a infettare anche funzionari di alto profilo. In conclusione, nonostante l'hacker non appoggi un partito politico o una delle parti in conflitto in Libia, le sue azioni sembrano essere spinte da motivi politici. Questo può essere deducibile dalla partecipazione ad operazioni come OpSyria[*] di alcuni anni fa.

Così come dalla volontà di rivelare documenti segreti e informazioni personali rubate al governo libico. Questo si oppone al costante bersaglio delle vittime libiche, ma potrebbe significare che l'hacker è alla ricerca di alcuni individui all'interno di una folla più numerosa. Disponibile a questo link il racconto integrale dell'"Operazione Tripoli": https://research.checkpoint.com/operation-tripoli/ [*]Nel novembre 2012, la rete globale di Anonymous, una libera affiliazione di gruppi di hacker che si oppone alla censura sul web, annunciò la chiusura dei siti web del governo siriano in tutto il mondo in risposta a un blackout su Internet che mirava a mettere a tacere l'opposizione al presidente Bashar al-Assad.



Nessun commento:

Posta un commento