Компания Meta Platforms заявила, что предприняла ряд шагов для пресечения вредоносной деятельности восьми различных фирм, базирующихся в Италии, Испании и Объединенных Арабских Эмиратах (ОАЭ), работающих в сфере видеонаблюдения по найму.
Выводы являются частью ее отчета о враждебных угрозах за четвертый квартал 2023 года. Шпионское ПО было нацелено на устройства iOS, Android и Windows.
"Их различные вредоносные программы включали возможности сбора информации об устройстве, местоположении, фотографиях и мультимедиа, контактах, календаре, электронной почте, SMS, социальных сетях и приложениях для обмена сообщениями и доступа к ним, а также включали функции микрофона, камеры и скриншотов", - говорится в сообщении компании.
Это восемь компаний: Cy4Gate / ELT Group, RCS Labs, IPS Intelligence, Variston IT, TrueL IT, Protect Electronic Systems, Negg Group и Mollitiam Industries.
Согласно Meta, эти фирмы также занимались скрейпингом, социальной инженерией и фишинговой деятельностью, нацеленной на широкий спектр платформ, таких как Facebook, Instagram, X (ранее Twitter), YouTube, Skype, GitHub, Reddit, Google, LinkedIn, Quora, Tumblr, VK, Flickr, TikTok, SnapChat, Gettr, Viber, Twitch и Telegram.
В частности, утверждается, что сеть вымышленных персонажей, связанных с RCS Labs, которая принадлежит Cy4Gate, обманом заставляла пользователей указывать свои номера телефонов и адреса электронной почты, а также переходить по поддельным ссылкам для проведения разведки.
Еще один набор удаленных аккаунтов Facebook и Instagram, связанных с испанским поставщиком шпионских программ Variston, использовался для разработки и тестирования эксплойтов, включая распространение вредоносных ссылок. На прошлой неделе появились сообщения о том, что компания прекращает свою деятельность.
Meta также сообщила, что идентифицировала учетные записи, используемые Negg Group для тестирования доставки своего шпионского ПО, а также Mollitiam Industries, испанской фирмой, которая рекламирует службу сбора данных и шпионское ПО, нацеленное на Windows, macOS и Android, для сбора общедоступной информации.
В других странах гигант социальных сетей действовал в сетях из Китая, Мьянмы и Украины, демонстрируя скоординированное недостоверное поведение (CIB), удалив более 2000 учетных записей, страниц и групп из Facebook и Instagram.
В то время как китайский кластер нацеливался на американскую аудиторию контентом, связанным с критикой внешней политики США в отношении Тайваня и Израиля и их поддержкой Украины, сеть из Мьянмы нацеливалась на своих собственных жителей оригинальными статьями, восхваляющими бирманскую армию и унижающими этнические вооруженные организации и группы меньшинств.
Третий кластер примечателен использованием поддельных страниц и групп для размещения контента в поддержку украинского политика Виктора Развадовского, а также для обмена "одобрительными комментариями о действующем правительстве и критическими комментариями об оппозиции" в Казахстане.
Разработка происходит после того, как коалиция правительственных и технологических компаний, включая Meta, подписала соглашение о пресечении использования коммерческих шпионских программ для нарушения прав человека.
В качестве контрмер компания представила новые функции, такие как включенная целостность потока управления (CFI) в Messenger для Android и изоляция памяти VoIP в WhatsApp, чтобы усложнить эксплуатацию и уменьшить общую поверхность атаки.
Тем не менее, индустрия видеонаблюдения продолжает процветать во множестве неожиданных форм. В прошлом месяце 404 Media — основываясь на предварительном исследовании, проведенном Ирландским советом гражданских свобод (ICCL) в ноябре 2023 года, — разоблачили инструмент наблюдения под названием Patternz, который использует рекламные данные о торгах в реальном времени (RTB), собранные из популярных приложений, таких как 9gag, Truecaller и Kik, для отслеживания мобильных устройств.
"Patternz позволяет агентствам национальной безопасности использовать данные, генерируемые пользовательской рекламой в реальном времени и за прошлые периоды, для обнаружения, мониторинга и прогнозирования действий пользователей, угроз безопасности и аномалий на основе поведения пользователей, моделей местоположения и характеристик использования мобильных устройств", - заявила ISA, израильская компания, создавшая продукт, на своем веб-сайте.
Затем, на прошлой неделе, Enea раскрыла ранее неизвестную атаку мобильной сети, известную как MMS-отпечаток пальца, которая, как утверждается, использовалась производителем Pegasus NSO Group. Эта информация была включена в контракт 2015 года между компанией и телекоммуникационным регулятором Ганы.
Хотя точный используемый метод остается загадкой, шведская компания по безопасности телекоммуникаций подозревает, что он, вероятно, связан с использованием MM1_notification .REQ - особый тип SMS-сообщений, называемый бинарным SMS, который уведомляет устройство получателя о MMS, ожидающем получения из Центра обслуживания мультимедийных сообщений (MMSC).
Затем MMS-сообщение извлекается с помощью MM1_retrieve.ЗАПРОС и MM1_retrieve.RES, причем первым является HTTP-запрос GET на URL-адрес, содержащийся в MM1_notification.Запрос в сообщении.
Примечательным в этом подходе является то, что информация об устройстве пользователя, такая как User-Agent (отличается от строки User-Agent веб-браузера) и x-wap-profile, встроена в запрос GET, тем самым действуя как своего рода отпечаток пальца.
"Пользовательский агент (MMS) - это строка, которая обычно идентифицирует ОС и устройство", - сказал Enea. "x-wap-profile указывает на файл UAProf (профиль агента пользователя), который описывает возможности мобильного телефона".
Злоумышленник, желающий внедрить шпионское ПО, может использовать эту информацию для использования определенных уязвимостей, адаптировать свои вредоносные программы к целевому устройству или даже организовать более эффективные фишинговые кампании. Тем не менее, нет никаких доказательств того, что эта дыра в безопасности широко использовалась в последние месяцы.
Выводы являются частью ее отчета о враждебных угрозах за четвертый квартал 2023 года. Шпионское ПО было нацелено на устройства iOS, Android и Windows.
"Их различные вредоносные программы включали возможности сбора информации об устройстве, местоположении, фотографиях и мультимедиа, контактах, календаре, электронной почте, SMS, социальных сетях и приложениях для обмена сообщениями и доступа к ним, а также включали функции микрофона, камеры и скриншотов", - говорится в сообщении компании.
Это восемь компаний: Cy4Gate / ELT Group, RCS Labs, IPS Intelligence, Variston IT, TrueL IT, Protect Electronic Systems, Negg Group и Mollitiam Industries.
Согласно Meta, эти фирмы также занимались скрейпингом, социальной инженерией и фишинговой деятельностью, нацеленной на широкий спектр платформ, таких как Facebook, Instagram, X (ранее Twitter), YouTube, Skype, GitHub, Reddit, Google, LinkedIn, Quora, Tumblr, VK, Flickr, TikTok, SnapChat, Gettr, Viber, Twitch и Telegram.
В частности, утверждается, что сеть вымышленных персонажей, связанных с RCS Labs, которая принадлежит Cy4Gate, обманом заставляла пользователей указывать свои номера телефонов и адреса электронной почты, а также переходить по поддельным ссылкам для проведения разведки.
Еще один набор удаленных аккаунтов Facebook и Instagram, связанных с испанским поставщиком шпионских программ Variston, использовался для разработки и тестирования эксплойтов, включая распространение вредоносных ссылок. На прошлой неделе появились сообщения о том, что компания прекращает свою деятельность.
Meta также сообщила, что идентифицировала учетные записи, используемые Negg Group для тестирования доставки своего шпионского ПО, а также Mollitiam Industries, испанской фирмой, которая рекламирует службу сбора данных и шпионское ПО, нацеленное на Windows, macOS и Android, для сбора общедоступной информации.
В других странах гигант социальных сетей действовал в сетях из Китая, Мьянмы и Украины, демонстрируя скоординированное недостоверное поведение (CIB), удалив более 2000 учетных записей, страниц и групп из Facebook и Instagram.
В то время как китайский кластер нацеливался на американскую аудиторию контентом, связанным с критикой внешней политики США в отношении Тайваня и Израиля и их поддержкой Украины, сеть из Мьянмы нацеливалась на своих собственных жителей оригинальными статьями, восхваляющими бирманскую армию и унижающими этнические вооруженные организации и группы меньшинств.
Третий кластер примечателен использованием поддельных страниц и групп для размещения контента в поддержку украинского политика Виктора Развадовского, а также для обмена "одобрительными комментариями о действующем правительстве и критическими комментариями об оппозиции" в Казахстане.
Разработка происходит после того, как коалиция правительственных и технологических компаний, включая Meta, подписала соглашение о пресечении использования коммерческих шпионских программ для нарушения прав человека.
В качестве контрмер компания представила новые функции, такие как включенная целостность потока управления (CFI) в Messenger для Android и изоляция памяти VoIP в WhatsApp, чтобы усложнить эксплуатацию и уменьшить общую поверхность атаки.
Тем не менее, индустрия видеонаблюдения продолжает процветать во множестве неожиданных форм. В прошлом месяце 404 Media — основываясь на предварительном исследовании, проведенном Ирландским советом гражданских свобод (ICCL) в ноябре 2023 года, — разоблачили инструмент наблюдения под названием Patternz, который использует рекламные данные о торгах в реальном времени (RTB), собранные из популярных приложений, таких как 9gag, Truecaller и Kik, для отслеживания мобильных устройств.
"Patternz позволяет агентствам национальной безопасности использовать данные, генерируемые пользовательской рекламой в реальном времени и за прошлые периоды, для обнаружения, мониторинга и прогнозирования действий пользователей, угроз безопасности и аномалий на основе поведения пользователей, моделей местоположения и характеристик использования мобильных устройств", - заявила ISA, израильская компания, создавшая продукт, на своем веб-сайте.
Затем, на прошлой неделе, Enea раскрыла ранее неизвестную атаку мобильной сети, известную как MMS-отпечаток пальца, которая, как утверждается, использовалась производителем Pegasus NSO Group. Эта информация была включена в контракт 2015 года между компанией и телекоммуникационным регулятором Ганы.
Хотя точный используемый метод остается загадкой, шведская компания по безопасности телекоммуникаций подозревает, что он, вероятно, связан с использованием MM1_notification .REQ - особый тип SMS-сообщений, называемый бинарным SMS, который уведомляет устройство получателя о MMS, ожидающем получения из Центра обслуживания мультимедийных сообщений (MMSC).
Затем MMS-сообщение извлекается с помощью MM1_retrieve.ЗАПРОС и MM1_retrieve.RES, причем первым является HTTP-запрос GET на URL-адрес, содержащийся в MM1_notification.Запрос в сообщении.
Примечательным в этом подходе является то, что информация об устройстве пользователя, такая как User-Agent (отличается от строки User-Agent веб-браузера) и x-wap-profile, встроена в запрос GET, тем самым действуя как своего рода отпечаток пальца.
"Пользовательский агент (MMS) - это строка, которая обычно идентифицирует ОС и устройство", - сказал Enea. "x-wap-profile указывает на файл UAProf (профиль агента пользователя), который описывает возможности мобильного телефона".
Злоумышленник, желающий внедрить шпионское ПО, может использовать эту информацию для использования определенных уязвимостей, адаптировать свои вредоносные программы к целевому устройству или даже организовать более эффективные фишинговые кампании. Тем не менее, нет никаких доказательств того, что эта дыра в безопасности широко использовалась в последние месяцы.
