Source from..

Tim keamanan siber internal Facebook telah mengganggu kelompok ancaman terus-menerus (APT) yang didukung China yang dijuluki Earth Empusa atau Mata Jahat, yang menargetkan aktivis, jurnalis, dan pembangkang yang terkait dengan komunitas Muslim Uighur di Xinjiang, China barat, yang sedang dianiaya tanpa henti oleh pemerintah China.

Selama kampanye yang berjalan lama, memiliki sumber daya yang baik, dan gigih, grup tersebut menargetkan orang-orang yang berlokasi di Australia, Kanada, Kazakhstan, Suriah, Turki, dan AS, menggunakan berbagai taktik spionase dunia maya untuk mengidentifikasi target dan membahayakan perangkat ponsel cerdas mereka dengan spyware.

“Analis intelijen ancaman Facebook dan pakar keamanan bekerja untuk menemukan dan menghentikan berbagai macam ancaman termasuk kampanye spionase dunia maya, mempengaruhi operasi dan peretasan platform kami oleh aktor negara-bangsa dan kelompok lain,” tulis Mike Dvilyanski, kepala investigasi spionase dunia maya Facebook , dan Nathaniel Gleicher, kepala kebijakan keamanan, dalam pemberitahuan pengungkapan.

“Sebagai bagian dari upaya ini, tim kami secara rutin mengganggu operasi musuh dengan menonaktifkannya, memberi tahu pengguna jika mereka harus mengambil langkah untuk melindungi akun mereka, membagikan temuan kami secara publik, dan terus meningkatkan keamanan produk kami,” tambah mereka.

Earth Empusa mengeksploitasi Facebook untuk mendistribusikan tautan ke situs web berbahaya di mana target diinduksi untuk mengunduh spyware, daripada membagikannya secara langsung, kata mereka. Taktik yang disukai grup tersebut tampaknya meniru situs web berita dengan domain yang mirip untuk situs berita Uighur dan Turki yang populer.

Grup tersebut juga menggunakan akun Facebook boneka kaus kaki untuk membangun persona fiktif yang menyamar sebagai jurnalis, pelajar, aktivis hak asasi manusia, dan sebagainya, untuk membangun kepercayaan di antara target mereka dan mengelabui mereka agar mengunjungi situs-situs jahat tersebut.

Mereka juga mengkompromikan beberapa situs web sah yang sering dikunjungi oleh target mereka dalam serangan lubang air – beberapa situs yang ditemukan selama penyelidikan berisi kode JavaScript berbahaya yang memasang malware Apple iOS yang dikenal sebagai Insomnia pada perangkat target.

Grup tersebut mengambil beberapa langkah untuk menyembunyikan aktivitas mereka dan melindungi alat berbahaya mereka, termasuk hanya menginfeksi orang dengan Insomnia setelah mereka melewati pemeriksaan teknis, termasuk alamat IP, sistem operasi, browser, dan pengaturan negara dan bahasa.

Earth Empusa juga menargetkan pengguna Android melalui toko aplikasi pihak ketiga palsu, tempat mereka mendistribusikan aplikasi trojan – termasuk aplikasi keyboard, aplikasi azan, dan aplikasi kamus – dengan malware ActionSpy dan PluginPhantom, yang mungkin dikembangkan oleh pembuat perangkat lunak outsourcing.

Facebook kini telah membagikan temuannya, termasuk informasi tentang indikator kompromi (IoCs), dengan komunitas keamanan, dan laporan lengkapnya dapat dibaca di sini.

Direktur analisis FireEye Mandiant Threat Intelligence, Ben Read, yang membantu dalam penghapusan tersebut, berkomentar: “FireEye menemukan operasi yang menargetkan komunitas Uyghur dan penutur bahasa China lainnya melalui aplikasi seluler berbahaya yang dirancang untuk mengumpulkan informasi pribadi yang luas dari para korban, termasuk lokasi GPS, SMS , daftar kontak, tangkapan layar, audio dan penekanan tombol.

“Operasi ini telah aktif setidaknya sejak 2019 dan dirancang untuk ketahanan jangka panjang pada ponsel korban, memungkinkan operator untuk mengumpulkan data pribadi dalam jumlah besar. Kami yakin operasi ini dilakukan untuk mendukung pemerintah [China], yang sering menargetkan minoritas Uighur melalui aktivitas spionase dunia maya.

“Dalam beberapa kesempatan, para pelaku spionase dunia maya Tiongkok telah memanfaatkan perangkat lunak perusak seluler untuk menargetkan Uyghur, warga Tibet, aktivis demokrasi Hong Kong, dan lainnya yang diyakini sebagai ancaman bagi stabilitas rezim.”