Facebook weert 200 Iraanse hackers van platform

Facebook app-icoon op een smartphone met een stylus die erboven zweeft

Facebook heeft een groep van zo’n tweehonderd Iraanse hackers van haar platform verwijderd. Ze misbruikte het sociale netwerk om doelwitten te bespioneren en malware te verspreiden. De daders richtten zich voornamelijk op Amerikaanse bedrijven en medewerkers.

Dat schrijft Facebook in een blog.

Iraanse hackers verlegden werkterrein naar VS

Anno 2021 is Facebook een veelgebruikt platform voor hackers en cybercriminelen. Ze gebruiken het platform voor onder meer spionage- en beïnvloedingscampagnes en om nepnieuws te verspreiden. Tevens is het sociale netwerk van Mark Zuckerberg in het verleden meer dan eens het doelwit geweest van hackers om persoonsgegevens van gebruikers te bemachtigen. Om deze redenen monitort Facebook haar platform routinematig om gebruikers te waarschuwen hoe ze hun account kunnen beschermen en kwaadwillenden te verwijderen.

Om de veiligheid van haar community te garanderen, heeft Facebook donderdag een groep van zo’n tweehonderd Iraanse hackers van haar platform verwijderd. Ze maakten onderdeel uit van de hackersgroep Tortoiseshell. De hackers waren voornamelijk actief in de IT-sector in het Midden-Oosten. Facebook zegt dat ze hun werkterrein hebben verlegd naar de VS, en in mindere mate naar het Verenigd Koninkrijk en Europa.

Ze richtten hun pijlen voornamelijk op militair personeel en bedrijven die actief zijn in de defensie- en luchtvaartindustrie. Volgens Facebook gebruikten de hackers ‘verschillende kwaadaardige tactieken’ om hun doelwitten te selecteren en hun apparaten met malware te besmetten om ze te bespioneren. “Deze activiteit had de kenmerken van een goed uitgeruste en hardnekkige operatie, terwijl de hackers vertrouwden op relatief sterke operationele beveiligingsmaatregelen om te verbergen wie erachter zat”, zo schrijft Facebook in een persverklaring.

Zo probeerden de hackers vertrouwelijke gegevens te stelen

Door nepprofielen op Facebook en andere sociale media aan te maken, benaderden de hacker hun slachtoffers. Ze deden zich voor als recruiters, artsen, farmaceutische bedrijven, journalisten, NGO’s en luchtvaartmaatschappijen. Zo probeerden zogenaamd nieuwe personeelsleden te rekruteren of samenwerkingsverbanden aan te gaan.

Nadat ze het vertrouwen hadden gewonnen, verstuurden de aanvallers e-mails met daarin een malafide bijlage die malware installeerde. Met deze kwaadaardige software probeerden ze inloggegevens en andere relevante informatie te stelen. Hiervoor vertrouwden ze op Trojaanse paarden en keyloggers.

Om geloofwaardig over te komen, hadden de hackers tientallen geloofwaardige domeinnamen geregistreerd en opgezet. Deze leken qua naam en vormgeving op sites van grote en betrouwbare namen in de techwereld, zoals microsoftoffice[.]systems en outlook-services[.]com. In sommige gevallen werden de domeinnamen verborgen met URL-shortening diensten als bit.ly om hun ware doel te verbergen.

Iraanse regering mogelijk verantwoordelijk voor aanvallen

Facebook heeft onderzocht wie de gebruikte malware heeft ontwikkeld. Uit de malware-analyse blijkt dat een deel van de gebruikte software is ontwikkeld door Mahak Rayan Afraz (MRA), een IT-bedrijf uit de Iraanse hoofdstad Teheran waarvan bekend is dat ze nauwe banden heeft met de Iraanse Revolutionaire Garde (IRG). Dat is een aanwijzing dat de Iraanse regering mogelijk achter deze aanvallen zit. Enkele medewerkers en oud-werknemers van MRA hebben connecties met bedrijven waar de Amerikaanse overheid sancties aan heeft opgelegd.

Het is niet de eerste keer dat Facebook hackers van haar platform verwijdert. In december 2020 weerde Facebook twee groepen hackers van haar community: één uit Vietnam en één uit Bangladesh. De Vietnamese hackers -ook wel APT32 genoemd- probeerden via Facebook en andere sociale netwerken voornamelijk malware te verspreiden. De Bengalese hackers probeerden inloggegevens van Facebook-gebruikers te bemachtigen om hun account over te nemen.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen