Κυβερνοκατασκοπεία σε Facebook και Instagram
Το Facebook ειδοποιεί σχεδόν 50.000 χρήστες σε περισσότερες από 100 χώρες ότι μπορεί να έχουν γίνει στόχοι απόπειρας hacking από εταιρείες παρακολούθησης που εργάζονται για κρατικούς φορείς ή ιδιώτες πελάτες, ανακοίνωσε η εταιρεία Meta.
Η ειδοποίηση είναι το αποτέλεσμα μιας πολύμηνης έρευνας από τη Meta, τη μητρική εταιρεία του Facebook, σχετικά με αυτό που οι αξιωματούχοι της Meta αποκαλούν «κυβερνο-μισθοφόρους» (cyber mercenaries) που εμπλέκονται σε «μίσθωση για παρακολούθηση» (surveillance for hire).
1.500 λογαριασμοί ψηφιακής κατασκοπείας σε Facebook και Instagram της Meta
Ως αποτέλεσμα, το Facebook είπε ότι λαμβάνει μέτρα εναντίον 7 εταιρειών παρακολούθησης με έδρα σε τέσσερις χώρες, αφαιρώντας περίπου 1.500 ψεύτικους λογαριασμούς, μπλοκάροντας κακόβουλες διευθύνσεις ιστού και στέλνοντας επιστολές παύσης και διακοπής στις εταιρείες.
Οι ερευνητές της Meta κατέληξαν στο συμπέρασμα ότι αυτές οι εταιρείες χρησιμοποιούσαν τις θυγατρικές της Meta, το Facebook και το Instagram για δραστηριότητες παρακολούθησης, κυρίως για να ερευνήσουν και να καλύψουν στόχους για μεταγενέστερες μολύνσεις από λογισμικό κατασκοπείας. Κάθε βήμα ήταν μέρος μιας ευρύτερης διαδικασίας στόχευσης που οι ερευνητές ονόμασαν «αλυσίδα επιτήρησης».
Η τελική έκθεση της έρευνας, με τίτλο «Αναφορά απειλών για τη βιομηχανία επιτήρησης προς μίσθωση», διαπίστωσε ότι οι εταιρείες παρακολούθησης «τακτικά» στοχεύουν πολιτικούς, εργαζόμενους στα ανθρώπινα δικαιώματα, δημοσιογράφους, αντιφρονούντες και μέλη οικογενειών προσωπικοτήτων της αντιπολίτευσης, με ελάχιστους νομικούς ελέγχους ή άλλες μορφές λογοδοσίας.
Ο Nathaniel Gleicher, επικεφαλής της πολιτικής ασφαλείας της Meta και συν-συγγραφέας της έκθεσης δήλωσε:
«Η βιομηχανία επιτήρησης είναι πολύ μεγαλύτερη από μία μόνο εταιρεία και είναι πολύ μεγαλύτερη από το κακόβουλο λογισμικό προς μίσθωση»
«Η στόχευση που βλέπουμε είναι αδιάκριτη. Στοχεύουν δημοσιογράφους. Στοχεύουν πολιτικούς. Στοχεύουν υπερασπιστές των ανθρωπίνων δικαιωμάτων. Στοχεύουν επίσης απλούς πολίτες».
Αυτά τα ευρήματα απηχούν εκείνα του Pegasus Project, μιας παγκόσμιας έρευνας της εταιρείας παρακολούθησης NSO Group με έδρα το Ισραήλ από την Washington Post και 16 άλλους ειδησεογραφικούς οργανισμούς, με επικεφαλής τη δημοσιογραφική μη κερδοσκοπική οργάνωση Forbidden Stories με έδρα το Παρίσι.
Ποιες είναι οι εταιρείες “Surveillance-For-Hire”
Μεταξύ των εταιρειών στις οποίες επέβαλε κυρώσεις η Meta ήταν μια ελάχιστα γνωστή εταιρεία παρακολούθησης, η Cytrox, με έδρα τα Σκόπια. Η εταιρεία έχει πελάτες σε 10 χώρες, όπως η Αίγυπτος, η Αρμενία, η Ελλάδα, η Σαουδική Αραβία, το Ομάν, η Κολομβία, η Ακτή Ελεφαντοστού, το Βιετνάμ, τις Φιλιππίνες και τη Γερμανία.
Η έκθεση Meta αναφέρει άλλες έξι εταιρείες. Τη BellTrox, με έδρα στην Ινδία και μία εταιρεία με έδρα στην Κίνα, την οποία οι ερευνητές του Meta δεν μπόρεσαν να προσδιορίσουν το όνομά της. Οι υπόλοιπες τέσσερις εδρεύουν στο Ισραήλ: η Cognyte, η Cobwebs Technologies, η Bluehawk CI και η Black Cube, η τελευταία από τις οποίες προσλήφθηκε από τον παραγωγό του Χόλιγουντ Χάρβεϊ Γουάινστιν για να συλλέξει πληροφορίες για γυναίκες που τον κατηγορούν για σεξουαλική παρενόχληση και δημοσιογράφους που κάλυπταν αυτή την ιστορία.
Πως δρουν οι εταιρείες παρακολούθησης
Η έκθεση Meta αναφέρει ότι οι εταιρείες παρακολούθησης λειτουργούν με βήματα, ξεκινώντας από την αναγνώριση για τον εντοπισμό πληροφοριών σχετικά με πιθανούς στόχους και ακολουθούμενη από μια περίοδο αλληλοεπίδρασης, μερικές φορές μέσω των μέσων κοινωνικής δικτύωσης ή άλλων υπηρεσιών επικοινωνίας.
Αυτό συχνά περιλαμβάνει τη χρήση ψεύτικων λογαριασμών -μερικές φορές που υποτίθεται ότι ανήκουν σε τηλεοπτικούς παραγωγούς, δημοσιογράφους ή ακαδημαϊκούς ερευνητές- που κερδίζουν την εμπιστοσύνη στοχευμένων ατόμων.
Τέλος, κατά τη φάση της εκμετάλλευσης, το λογισμικό υποκλοπής παραδίδεται στη συσκευή ενός χρήστη, μολύνοντάς το και επιτρέποντας την έναρξη της συλλογής δεδομένων.
«Αλυσίδα επιτήρησης» (Surveillance chain)
Η αλυσίδα επιτήρησης που χρησιμοποιείται περιλαμβάνει την αναγνώριση, την εμπλοκή και την εκμετάλλευση. Κάθε φάση ενημερώνει την επόμενη και συχνά επαναλαμβάνονται σε κύκλους. Η Meta διαπίστωσε ότι ενώ ορισμένες από αυτές τις 7 εταιρείες ειδικεύονται σε ένα συγκεκριμένο στάδιο επιτήρησης, άλλες υποστηρίζουν ολόκληρη την αλυσίδα από την αρχή μέχρι το τέλος.
Αναγνώριση (Reconnaissance)
Αυτό το πρώτο στάδιο της αλυσίδας επιτήρησης είναι συνήθως το λιγότερο ορατό στους στόχους, οι οποίοι σιωπηρά διαμορφώνονται από μισθοφόρους στον κυβερνοχώρο για λογαριασμό των πελατών τους, χρησιμοποιώντας συχνά λογισμικό για την αυτοματοποίηση της συλλογής δεδομένων από όλο το Διαδίκτυο. Οι εταιρείες που πωλούν αυτές τις δυνατότητες συνήθως εμπορεύονται τους εαυτούς τους ως «υπηρεσίες πληροφοριών Ιστού» για να επιτρέψουν τη συλλογή, τη διατήρηση, την ανάλυση και τη δυνατότητα αναζήτησης – τόσο στοχευμένα όσο και σε κλίμακα.
Συνήθως, αυτές οι υπηρεσίες και οι εφαρμογές έχουν σχεδιαστεί για να αντλούν πληροφορίες σχετικά με στόχους από όλες τις διαθέσιμες ηλεκτρονικές εγγραφές. Συνήθως “σκουπίζουν” και αποθηκεύουν δεδομένα από δημόσιους ιστότοπους, όπως ιστολόγια, μέσα κοινωνικής δικτύωσης, πλατφόρμες διαχείρισης γνώσης όπως η Wikipedia και τα Wikidata, μέσα ειδήσεων, φόρουμ και ιστότοποι «σκοτεινού ιστού». Το Surveillanceware παρέχει συχνά το πλεονέκτημα της συσκότισης της προέλευσης της δραστηριότητας μέσω μη αποδιδόμενων υποδομών.
Ένα από τα κύρια μέσα συλλογής πληροφοριών στα μέσα κοινωνικής δικτύωσης είναι η χρήση ψεύτικων λογαριασμών.
Αυτά τα μη αυθεντικά στοιχεία μπορούν να χρησιμοποιηθούν για αναζήτηση και προβολή προφίλ ατόμων, φίλων, επισημάνσεων “Μου αρέσει” και άλλων δημοσίως διαθέσιμων πληροφοριών, για συμμετοχή σε Ομάδες και εκδηλώσεις και για παρακολούθηση ή στόχων φίλων. Συνήθως τα διαχειρίζεται ο πάροχος υπηρεσιών για τους πελάτες του ή τα χειρίζονται οι ίδιοι οι πελάτες μέσω λογισμικού που παρέχεται από την εταιρεία επιτήρησης προς μίσθωση. Το επίπεδο πολυπλοκότητας των ψεύτικων λογαριασμών ποικίλλει σημαντικά μεταξύ των μισθοφόρων στον κυβερνοχώρο και των πελατών τους.
Αλληλοεπίδραση (Engagement)
Αυτή η δεύτερη φάση της αλυσίδας επιτήρησης είναι συνήθως η πιο ορατή στους στόχους της και η πιο κρίσιμη για την αποφυγή συμβιβασμού. Αποσκοπεί στην εδραίωση επαφής με τους στόχους ή τους κοντινούς τους ανθρώπους σε μια προσπάθεια να οικοδομήσει εμπιστοσύνη, να ζητήσει πληροφορίες και να τους εξαπατήσει ώστε να κάνουν κλικ σε συνδέσμους ή να κατεβάσουν αρχεία (για να ενεργοποιηθεί η επόμενη φάση «εκμετάλλευσης»).
Για να γίνει αυτό, οι χειριστές βασίζονται συνήθως σε τακτικές κοινωνικής μηχανικής (social engineering) και χρησιμοποιούν πλασματικά πρόσωπα για να επικοινωνήσουν με άτομα μέσω email, τηλεφωνικών κλήσεων, μηνυμάτων κειμένου ή απευθείας μηνυμάτων στα μέσα κοινωνικής δικτύωσης.
Σε προηγούμενη ανάρτηση έχουμε γράψει αναλυτικά για το προφίλ Sock puppet (μαριονέτα) σε Μέσα Κοινωνικής Δικτύωσης για OSINT
Αυτά τα πρόσωπα είναι συνήθως προσαρμοσμένα σε κάθε συγκεκριμένο στόχο για να φαίνονται αξιόπιστα και να αποφεύγουν να δίνουν συμβουλές στους ανθρώπους για να υποπτεύονται κακόβουλη πρόθεση.
Οι στόχοι της κοινωνικής μηχανικής μπορεί να κυμαίνονται από τη λήψη ευαίσθητων πληροφοριών που επιθυμεί ο πελάτης έως τη στόχευση του ατόμου με κακόβουλο λογισμικό για την ενεργοποίηση της πλήρους ψηφιακής επιτήρησης της συσκευής. Για να τα επιτύχουν, οι χειριστές μπορεί να επιχειρήσουν να κατευθύνουν τους ανθρώπους σε πιο άμεσα κανάλια όπως φωνητικές κλήσεις ή βιντεοκλήσεις ή ακόμα και προσωπικές συναντήσεις.
Εκμετάλλευση (Exploitation)
Το τελικό στάδιο της αλυσίδας επιτήρησης εκδηλώνεται ως αυτό που είναι κοινώς γνωστό ως “hacking for hire”.
Ενδέχεται να δημιουργηθούν τομείς ηλεκτρονικού “ψαρέματος” που έχουν σχεδιαστεί για να εξαπατήσουν στόχους ώστε να δώσουν τα διαπιστευτήριά τους σε ευαίσθητους λογαριασμούς όπως email, μέσα κοινωνικής δικτύωσης, χρηματοοικονομικές υπηρεσίες και εταιρικά δίκτυα. Συνήθως πλαστογραφούνται, δημιουργούνται κλώνοι ειδησεογραφικών οργανισμών, παρόχων τηλεπικοινωνιών, τραπεζών και υπηρεσιών και διαμοιράζεται υπερσύνδεσμοι των τομέων ή συντόμευσης πχ bit .ly/example.com, για να εξαπατήσουν τα θύματά τους.
Για να καταστεί δυνατή η παράδοση κακόβουλου λογισμικού, οι χειριστές μπορούν είτε να χρησιμοποιήσουν τα δικά τους προσαρμοσμένα exploits είτε να αποκτήσουν κακόβουλα εργαλεία από άλλους προμηθευτές. Η πολυπλοκότητα των εργαλείων ποικίλλει σημαντικά σε αυτόν τον κλάδο, από κακόβουλο λογισμικό που εντοπίζεται εύκολα από τα περισσότερα λογισμικά προστασίας από ιούς έως συνδέσμους εκμετάλλευσης με ένα ή ακόμη και μηδενικό κλικ που αποστέλλονται στους στόχους.
Ο απώτερος στόχος είναι να καταστεί δυνατή η παρακολούθηση και η παρακολούθηση σε επίπεδο συσκευής κινητών τηλεφώνων ή υπολογιστών. Σε αυτό το σημείο, ανάλογα με την εκμετάλλευση, ο εισβολέας μπορεί να έχει πρόσβαση σε οποιαδήποτε δεδομένα στο τηλέφωνο ή τον υπολογιστή του στόχου, συμπεριλαμβανομένων κωδικών πρόσβασης, cookie, διακριτικών πρόσβασης, φωτογραφιών, βίντεο, μηνυμάτων, βιβλίων διευθύνσεων, καθώς και να ενεργοποιεί αθόρυβα το μικρόφωνο, την κάμερα και παρακολούθηση γεωγραφικής θέσης.
50.000 λογαριασμοί ήταν στόχοι των εταιρειών παρακολούθησης
Συνολικά, η έκθεση της Meta απαρίθμησε περισσότερες από δώδεκα χώρες σε έξι ηπείρους που χρησιμοποιούσαν τις υπηρεσίες επιτήρησης που παρείχαν οι επτά εταιρείες της έκθεσης.
Η αναφορά περιλάμβανε ένα παράδειγμα των σχεδόν 50.000 ειδοποιήσεων, οι οποίες πρόκειται να αρχίσουν να φτάνουν την Πέμπτη:
“Πιστεύουμε ότι ένας εξελιγμένος εισβολέας μπορεί να στοχεύει τον λογαριασμό σας στο Facebook. Να είστε προσεκτικοί όταν δέχεστε αιτήματα φιλίας και αλληλεπιδράτε με άτομα που δεν γνωρίζετε.”
Ελληνικές πλαστές σελίδες για Exploitation
Τονίζεται ότι στο παράρτημα της έρευνας της Meta περιλαμβάνονται 42 ιστοσελίδες των οποίων το όνομα παραπέμπει σε γνωστές ελληνικές ειδησεογραφικές σελίδες:
adservices[.]gr[.]com
altsantiri[.]news
bi[.]tly[.]gr[.]com
bmw[.]gr[.]com
citroen[.]gr[.]com
cnn[.]gr[.]com
crashonline[.]site
ebill[.]cosmote[.]center
efsyn[.]online
enikos[.]news
ereportaz[.]news
espressonews[.]gr[.]com
ferrari[.]gr[.]com
fimes[.]gr[.]com
heiiasjournai[.]com
hellasjournal[.]company
hellasjournal[.]website
hempower[.]shop
insider[.]gr[.]com
kathimerini[.]news
kranos[.]gr[.]com
nassosblog[.]gr[.]com
newsbeast[.]gr[.]com
nissan[.]gr[.]com
onlineservices[.]gr[.]com
orchomenos[.]news
paok-24[.]com
politika[.]bid
pronews[.]gr[.]com
protothema[.]live
sepenet[.]gr[.]com
stonisi[.]news
suzuki[.]gr[.]com
tiny[.]gr[.]com
tly[.]gr[.]com
tovima[.]live
ube[.]gr[.]com
viva[.]gr[.]com
yout[.]ube[.]gr[.]com
youtube[.]gr[.]live
zougla[.]gr[.]com
zougla[.]news
Αν σας φάνηκαν άγνωστα τα όσα διαβάσατε μπορείτε να διαβάσετε τις παρακάτω επιλεγμένες αναλύσεις στην κατηγορία GOSINT στην ΑΜΥΝΑ:
OPSEC και PERSEC στην καθημερινή ζωή
Συλλογή πληροφοριών: Το OSINT… και 15 INTs
Κύκλος Πληροφορίας (Information Cycle)