Facebook ha chiuso un’operazione di cyberspionaggio legata ad hacker pakistani che ha preso di mira persone in India, tra cui personale militare e funzionari governativi. Questo gruppo di hacker pakistani è noto nel settore della sicurezza come APT36. Secondo l’Adversarial Threat Report trimestrale di Meta, il loro modus operandi comprendeva vari metodi come l’honey trapping e l’infiltrazione di malware nei dispositivi delle vittime. “La nostra indagine ha collegato questa attività ad attori legati allo Stato del Pakistan”, ha dichiarato Meta nel suo rapporto.
Come hanno lavorato gli hacker dell’APT36
Secondo il rapporto, il gruppo ha preso di mira molti servizi su Internet, dai provider di e-mail ai servizi di file-hosting ai social media. “APT36 ha utilizzato diverse tattiche malevole per colpire le persone online con l’ingegneria sociale per infettare i loro dispositivi con il malware. Hanno utilizzato un mix di link malevoli e camuffati e applicazioni false per distribuire il loro malware su dispositivi Android e Windows”, si legge nel rapporto di Meta.
Il gruppo di hacker pakistani si è servito di personaggi fittizi – spacciandosi per reclutatori di aziende legittime e false, per personale militare o per giovani donne attraenti in cerca di un legame sentimentale – nel tentativo di instaurare un rapporto di fiducia con le persone prese di mira. Il gruppo ha utilizzato un’ampia gamma di tattiche, compreso l’uso di infrastrutture personalizzate, per diffondere il malware. Inoltre, questo gruppo ha utilizzato comuni servizi di file sharing come WeTransfer per ospitare il malware per brevi periodi di tempo.
APT36 ha utilizzato versioni false di WhatsApp, YouTube, Google Drive e altro ancora.
Meta ha scoperto che in questa recente operazione, APT36 ha anche troianizzato versioni (non ufficiali) di WhatsApp, WeChat e YouTube con un’altra famiglia di malware di base nota come Mobzsar o CapraSpy. Gli hacker pakistani hanno anche utilizzato servizi di accorciamento dei link per mascherare gli URL dannosi.
Hanno utilizzato social card e siti di anteprima – strumenti online utilizzati nel marketing per personalizzare l’immagine visualizzata quando un determinato URL viene condiviso sui social media – per mascherare il reindirizzamento e la proprietà dei domini controllati da APT36. “Alcuni di questi domini sono stati mascherati da siti web per la condivisione di foto o da app store generici, mentre altri hanno simulato i domini di aziende reali come Google Play Store, OneDrive di Microsoft e Google Drive”, aggiunge il rapporto.
In diversi casi, questo gruppo ha utilizzato una versione modificata del malware Android di base noto come “XploitSPY”, disponibile su Github. Mentre “XploitSPY” sembra essere stato originariamente sviluppato da un gruppo di hacker etici autodenunciati in India, APT36 lo ha modificato per produrre una nuova variante di malware chiamata “LazaSpy”. “Entrambe le famiglie di malware sono in grado di accedere ai registri delle chiamate, ai contatti, ai file, ai messaggi di testo, alla geolocalizzazione, alle informazioni sul dispositivo, alle foto e all’abilitazione del microfono”, si legge nel rapporto.
