Meta (anteriormente Facebook) ha tomado medidas enérgicas contra una operación de ciber espionaje vinculado a los malos actores patrocinados por el estado en Pakistán que atacó a las personas en la India, incluido el personal militar y los funcionarios gubernamentales, con varios métodos como la captura de miel e infiltración de sus dispositivos con malware.
Además de la India, el grupo de piratas informáticos en Pakistán, conocido en la industria de la seguridad como APT36, dirigidas a personas en Afganistán, Pakistán, los EAU y Arabia Saudita, según el ‘informe de amenaza adversa’ trimestral de Meta.
Nuestra investigación conectó esta actividad con actores vinculados al estado en Pakistán, dijo Meta.
La actividad del grupo fue persistente y se dirigió a muchos servicios en Internet, desde proveedores de correo electrónico hasta servicios de alojamiento de archivos a las redes sociales.
APT36 usó varias tácticas maliciosas para atacar a las personas en línea con la ingeniería social para infectar sus dispositivos con malware. Usaron una combinación de enlaces maliciosos y camuflados, y aplicaciones falsas para distribuir su malware dirigido a dispositivos de Android y Windows, advirtió la red social advirtió.
APT36 usó personajes ficticios, que layan como reclutadores para compañías legítimas y falsas, personal militar o mujeres jóvenes atractivas que buscan establecer una conexión romántica, en un intento de generar confianza con las personas a las que atacaron.
El grupo implementó una amplia gama de tácticas, incluido el uso de infraestructura personalizada, para entregar su malware.
Algunos de estos dominios se disfrazaron de sitios web de intercambio de fotos o tiendas de aplicaciones genéricas, mientras que otros falsificaron los dominios de compañías reales como Google Play Store, OneDrive de Microsoft y Google Drive, dijo el meta informe.
Además, este grupo utilizó servicios comunes de intercambio de archivos como Wetransfer para alojar malware por cortos períodos de tiempo.
Los actores con sede en Pakistán también utilizaron servicios de cambio de enlace para disfrazar las URL maliciosas.
Utilizaron tarjetas sociales y sitios de vista previa, herramientas en línea utilizadas en marketing para personalizar qué imagen se muestra cuando se comparte una URL en particular en las redes sociales, para enmascarar la redirección y la propiedad de los dominios apt36 controlados.
APT36 no compartía directamente malware en nuestras plataformas, sino que usaba las tácticas para compartir enlaces maliciosos a los sitios que controlaban y donde alojaban malware, dijo Meta.
En varios casos, este grupo utilizó una versión modificada de malware Android de productos básicos conocido como ‘XPloitSpy’ disponible en GitHub.
Mientras que ‘XPloitSpy’ parece haber sido desarrollado originalmente por un grupo de piratas informáticos autoinformados en India, APT36 le dio modificaciones para producir una nueva variante de malware ‘LazaSpy’.
Meta descubrió que en esta operación reciente, APT36 también tenía versiones (no oficiales) (no oficiales) de WhatsApp, WeChat y YouTube con otra familia de malware de productos básicos conocidos como Mobzsar o Capraspy.
Ambas familias de malware son capaces de acceder a registros de llamadas, contactos, archivos, mensajes de texto, geolocalización, información del dispositivo, fotos y habilitación del micrófono, dijo el informe.
Meta también eliminó una red de brigading en India, una red de informes masivos en Indonesia y coordinó las redes de violación en Grecia, India y Sudáfrica.
Brigading es una técnica en la que los grupos de personas coordinan para acosar a las personas en meta plataformas en un intento de intimidarlos y silenciarlos.