imágenes falsas
Si eres un miembro del ejército de los EE. UU. Que se ha vuelto amigable Facebook Mensajes de reclutadores del sector privado durante meses, sugiriendo un futuro lucrativo en la industria de contratistas aeroespaciales o de defensa, Facebook puede tener malas noticias.
El jueves, el gigante de las redes sociales reveló que ha rastreado y, al menos parcialmente, interrumpido un proceso de larga duración. iraní campaña de piratería que utilizó cuentas de Facebook para hacerse pasar por reclutadores, atrayendo objetivos estadounidenses con esquemas convincentes de ingeniería social antes de enviarles archivos infectados con malware o engañándolos para que envíen credenciales confidenciales a sitios de phishing. Facebook dice que los piratas informáticos también pretendían trabajar en las industrias de la hospitalidad o la medicina, en el periodismo o en ONG o aerolíneas, a veces involucrando a sus objetivos durante meses con perfiles en varias plataformas de redes sociales diferentes. Y a diferencia de algunos casos anteriores de pesca de gato en las redes sociales patrocinada por el estado iraní que se han centrado en los vecinos de Irán, esta última campaña parece haberse dirigido principalmente a estadounidenses y, en menor medida, a víctimas del Reino Unido y Europa.
Facebook dice que ha eliminado “menos de 200” perfiles falsos de sus plataformas como resultado de la investigación y notificó aproximadamente a la misma cantidad de usuarios de Facebook que los piratas informáticos los habían atacado.
“Nuestra investigación descubrió que Facebook era una parte de una operación de espionaje mucho más amplia que se dirigía a personas con phishing, ingeniería social, sitios web falsificados y dominios maliciosos en múltiples plataformas de redes sociales, correo electrónico y sitios de colaboración”, dijo David Agranovich, director de amenazas de Facebook. interrupción, dijo el jueves en una llamada con la prensa.
Facebook ha identificado a los piratas informáticos detrás de la campaña de ingeniería social como el grupo conocido como Tortoiseshell, que se cree trabaja en nombre del gobierno iraní. El grupo, que tiene algunos lazos sueltos y similitudes con otros grupos iraníes más conocidos conocidos por los nombres APT34 o Helix Kitten y APT35 o Charming Kitten, salió a la luz por primera vez en 2019. En ese momento, la firma de seguridad Symantec vio a los piratas informáticos
Tortoiseshell también parece haber optado desde el principio por la ingeniería social en lugar de un ataque a la cadena de suministro, comenzando su pesca en las redes sociales ya en 2018, según la firma de seguridad Mandiant. Eso incluye mucho más que Facebook, dice el vicepresidente de inteligencia de amenazas de Mandiant, John Hultquist. “Desde algunas de las primeras operaciones, compensan los enfoques técnicos realmente simplistas con esquemas de redes sociales realmente complejos, que es un área en la que Irán es realmente experto”, dice Hultquist.
En 2019, la división de seguridad Talos de Cisco descubrió a Tortoiseshell ejecutar un sitio falso para veteranos llamado Hire Military Heroes, diseñado para engañar a las víctimas para que instalen una aplicación de escritorio en su PC que contenga malware. Craig Williams, director del grupo de inteligencia de Talos, dice que el sitio falso y la campaña más grande que Facebook ha identificado muestran cómo el personal militar que intenta encontrar trabajos en el sector privado representa un objetivo maduro para los espías. “El problema que tenemos es que la transición de los veteranos al mundo comercial es una industria enorme”, dice Williams. “Los malos pueden encontrar personas que cometen errores, que hacen clic en cosas que no deberían, que se sienten atraídas por ciertas propuestas”.
Facebook advierte que el grupo también falsificó un sitio del Departamento de Trabajo de EE. UU. la compañía proporcionó una lista de los dominios falsos del grupo que se hicieron pasar por sitios de medios de noticias, versiones de YouTube y LiveLeak, y muchas variaciones diferentes de las URL relacionadas con la familia Trump y la organización Trump.
Facebook dice que ha vinculado las muestras de malware del grupo a un contratista de TI específico con sede en Teherán llamado Mahak Rayan Afraz, que anteriormente proporcionó malware al Cuerpo de la Guardia Revolucionaria de Irán, o IRGC, el primer vínculo tenue entre el grupo Tortoiseshell y un gobierno. Symantec señaló en 2019 que el grupo también usó algunas herramientas de software que también fueron utilizadas por el grupo de piratería APT34 de Irán, que tiene usó señuelos de redes sociales en sitios como Facebook y LinkedIn durante años. Hultquist de Mandiant dice que comparte algunas características con el grupo iraní conocido como APT35, que se cree que trabaja al servicio del IRGC. La historia de APT35 incluye el uso de un desertor estadounidense, la contratista de defensa de inteligencia militar Monica Witt, para obtener información sobre sus antiguos colegas que podría utilizarse para apuntar a ellos con campañas de ingeniería social y phishing.
La amenaza de las operaciones de piratería con base en Irán, y en particular, la amenaza de ataques cibernéticos disruptivos del país, puede haber desaparecido a medida que la Administración Biden ha revertido el curso del enfoque de confrontación de la administración Trump. El asesinato en 2020 del líder militar iraní Qassem Soleimani en particular condujo a una repunte de las intrusiones iraníes que muchos temían fueron un precursor de ciberataques de represalia que nunca se materializaron. El presidente Biden, por el contrario, ha señalado que espera revivir el acuerdo de la era de Obama que suspendió las ambiciones nucleares de Irán y alivió las tensiones con el país, un acercamiento que se ha visto sacudido por la noticia de que los agentes de inteligencia iraníes conspirado para secuestrar a un periodista iraní-estadounidense.
Pero la campaña de Facebook muestra que el espionaje iraní continuará apuntando a Estados Unidos y sus aliados, incluso cuando mejoren las relaciones políticas en general. “El IRGC claramente está llevando a cabo su espionaje en los Estados Unidos”, dice Hultquist de Mandiant. “Todavía no están haciendo nada bueno, y necesitan ser vigilados cuidadosamente”.
Esta historia apareció por primera vez en wired.com.