Facebook la onsdag ut en melding på sine nettsider om at de har stanset en operasjon der hackere tilknyttet kinesiske myndigheter brukte Facebook for å spre skadevare som ble brukt til å spionere på kinesere tilknyttet landets uigur-minoritet. Det var teknologinettstedet Ars Techica som først omtalte Facebook-meldingen.
– Aktiviteten vi har avdekket bærer kjennetegnene til en operasjon som er utført med betydelige ressurser over lengre tid, samtidig som det er gjort mye for å skjule hvem som står bak, skriver Mike Dvilanski, som leder Facebooks arbeid mot cyberspionasje og Nathaniel Gleicher, som er Facebooks sikkerhetssjef.
Den mistenkte hacker-gruppen er kjent under flere navn; Earth Empusa, Evil Eye, og PoisonCarp. Kinesiske myndigheter nekter imidlertid hardnakket for at de er involvert i angrepene som er avdekket.
Forskere: – Android samler inn 20 ganger mer data enn iOS
Har infisert både Android og Ios
Skadevaren har rettet seg mot mobiltelefoner, både Android-telefoner og Iphoner, og har vært plassert på nettsider og i apper som hackerne har plassert i falske tredjepart-appbutikker.
Facebook skal først og fremst ha blitt brukt til å lokke uigurer til disse nettsidene som har henvendt seg spesielt til den kinesiske minoriteten som Kina blir beskyldt for å undertrykke.
Nettsidene har inneholdt avansert skadevare som har kunnet skanne telefonene for en rekke ulike data.
Disse dataene har blitt brukt til å identifisere uigurer, slik at skadevaren kun ble installert på telefoner med språkinnstillinger IP-adresser og annet som gjorde det sannsynlig at de tilhørte personer fra denne minoriteten.
Dette har også bidratt til at det har tatt tid før hacker-operasjonen ble oppdaget, skriver Ars Technica.
Facebook mener at målet med hackeraksjonen har vært å overvåke uigur-aktivister og -journalister bosatt utenfor Kina.
Persondata fra over en halv milliard Facebook-brukere lekket på nettet – flere hundre tusen nordmenn rammet
Har støvsugd telefoner for data
Skadevaren, kjent som Insomnia, som har blitt installert på Iphoner, ble beskrevet av Google og cybersikkerhetsselskapet Volexity i august 2019 og april 2020, og har utnyttet flere ulike sikkerhetshull i Ios-versjoner fra Ios 10 til Ios 13.3.2. Hackerne har fortsatt angrepene mot uigur-telefoner også etter at skadevaren ble kjent, og har trolig hatt muligheten til å infisere Iphoner i mer enn to år.
Android-telefoner er typisk blitt angrepet ved hjelp av infiserte apper fra tredjeparts-appbutikker, som har henvendt seg spesielt til uigurer. De infiserte appene har for eksempel vært kamuflert som en tastatur-app, en bønneapp og en ordbok-app for uigur-minoriteten. I virkeligheten har de vært bærere av spionprogrammene kjent som Actionspy og Plugin phantom.
Spionprogrammene har nærmest støvsugd telefonene for data, og hvert 30. sekund har opplysninger om lokasjon, batteristatus, IMEI og annet blitt sendt til hackerkontrollerte servere.
Programmene har gjennomsøkt filer, og har også gitt hackerne mulighet til å ta kontroll over kameraer og mikrofonen på de infiserte telefonene.
I tillegg har telefonene gitt eierne sine tilsynelatende harmløse servicemeldinger, som har fått dem til å skru av sikkerhetsfunksjoner - slik at hackerne i mange tilfeller også har fått tilgang til for eksempel chat-logger for meldingsapper og epost.
Facebook skriver at de har varslet personene de mener har vært mål for hackeroperasjonen, og delt alle opplysninger de har avdekket om truslene og skadevarene slik at flest mulig kan sette i verk tiltak mot dem. I tillegg er Facebook-kontoer tilknyttet hackergruppene blitt stengt, og det er lagt inn sperrer som skal gjøre det umulig å dele lenker til de infiserte nettsidene på Facebook.
Sikkerhetsselskap: Dette er den mest utbredte skadevaren i Norge
