Facebook vừa tiết lộ mới triệt phá một chiến dịch gián điệp mạng tinh vi của tin tặc được cho từ Iran nhắm vào khoảng 200 quân nhân Mỹ cũng như công ty trong lĩnh vực quốc phòng, hàng không vũ trụ tại Mỹ, Anh và một số nước châu Âu khác. Chiến dịch này sử dụng các tài khoản trực tuyến giả mạo người dùng thông thường trên nền tảng này.
“Gã khổng lồ mạng xã hội” xác định cuộc tấn công do nhóm Tortoiseshell (tên khác Imperial Kitten) thực hiện do phát hiện kỹ thuật tương tự với các chiến dịch trước đây, vốn tập trung vào ngành công nghiệp công nghệ của Ả Rập Xê Út. Điều này cho thấy hoạt động độc hại này đã có dấu hiệu mở rộng phạm vi.
“Nhóm này sử dụng rất nhiều thủ thuật đáng ngờ khác nhau để xác định nạn nhân và tấn công vào thiết bị của họ bằng ứng dụng độc hại để tiến hành hoạt động gián điệp. Chiến dịch cho thấy đây là hoạt động có nguồn lực đầu tư tốn, bền bỉ và dựa vào các biện pháp an ninh mạnh để che giấu kẻ đứng sau”, phía Facebook cho hay.
Tuy vậy, đây chỉ là một phần của chiến dịch tấn công đa nền tảng có quy mô rộng lớn hơn nhiều. Facebook chỉ bị lợi dụng như một công cụ kỹ thuật để chuyển hướng nạn nhân tới các tên miền giả mạo thông qua những đường dẫn (link) độc hại được đăng tải ở đây.
Tortoiseshell đã tạo ra các tài khoản giả mạo để tiếp cận với mục tiêu, đôi khi tương tác với họ nhiều tháng trời để tạo niềm tin, đóng giả làm nhà tuyển dụng hay nhân viên công ty quốc phòng, hàng không vũ trụ. Một số tuyên bố đang làm việc trong lĩnh vực khách sạn, y tế, báo chí, tổ chức phi chính phủ (NGO) hay ngành hàng không…
Những tên miền giả mạo cũng đa dạng, từ làm nhái trang tuyển dụng việc làm của Bộ Lao động Mỹ tới trang tìm việc thông thường, được thiết kế để nhắm tới nhóm mục tiêu đang quan tâm công việc trong ngành hàng không, quốc phòng. Mục tiêu của chúng để đánh cắp thông tin xác thực cũng như dữ liệu từ email của nạn nhân.
Phân tích sâu hơn, Facebook phát hiện một phần công cụ của Tortoiseshell được phát triển bởi Mahak Rayan Afraz (MRA) - công ty về công nghệ thông tin có trụ sở tại Tehran (Iran) và được cho có liên hệ với quân đội Iran.
Đại diện mạng xã hội lớn nhất thế giới cho biết đã chặn các tên miền độc hại được chia sẻ trên nền tảng này, gỡ toàn bộ tài khoản của nhóm, thông báo tới các nạn nhân về vấn đề trên.
Bình luận (0)