متا پلتفرمز (Meta Platforms) اعلام کرد که مجموعه اقداماتی را به منظور محدود نمودن فعالیتهای مخرب هشت شرکت مختلف تولید کننده برنامه های جاسوس افزار مستقر در ایتالیا، اسپانیا و امارات متحده عربی (U.A.E.) به انجام رسانده است که در صنعت نظارت بر استخدام فعالیت میکنند.
یافته های منتشر شده بخشی از گزارش تهدید مهاجم این شرکت برای سه ماهه چهارم سال 2023 است. این برنامه های جاسوس افزار، دستگاه های iOS، اندروید و ویندوز را مورد هدف قرار داده است. بدافزارهای مختلف آنها شامل قابلیتهایی برای جمع آوری و دسترسی به اطلاعات دستگاه، موقعیت مکانی، عکسها و رسانهها، مخاطبین، تقویم، ایمیل، پیامک، رسانههای اجتماعی و برنامههای پیامرسان و فعال سازی میکروفون، دوربین و گرفتن اسکرین شات است».
این هشت شرکت عبارتند از Cy4Gate/ELT Group، RCS Labs، IPS Intelligence، Variston IT، TrueL IT، Protect Electronic Systems، Negg Group و Mollitiam Industries.
این شرکت ها همچنین درگیر فعالیت های جمع آوری اطلاعات، مهندسی اجتماعی و فیشینگ بودند که طیف گستردهای از پلتفرم ها مانند فیس بوک، اینستاگرام، X (توئیتر سابق)، یوتیوب، اسکایپ، GitHub، Reddit، گوگل، لینکدین، Quora، Tumblr، VK، Flickr، TikTok، SnapChat، Gettr، Viber، Twitch و Telegram را مورد هدف قرار دادند.
شبکه ای از شخصیتهای ساختگی مرتبط با آزمایشگاههای RCS، که به طور خاص متعلق به Cy4Gate است، کاربران را فریب داده تا شماره تلفن و آدرس ایمیل خود را ارائه دهند. علاوه بر این، از کاربران درخواست می کند تا بر روی لینک های جعلی برای انجام شناسایی کلیک کنند.
مجموعه دیگری از حسابهای فیس بوک و اینستاگرام که به تازگی حذف شدهاند مرتبط با فروشنده اسپانیایی نرم افزارهای جاسوسی Variston IT برای توسعه و آزمایش اکسپلویت، از جمله اشتراک گذاری لینک های مخرب بودند. techcrunch گزارش هایی مبنی بر تعطیلی فعالیت های این شرکت در پانزدهم فوریه منتشر نمود.
متا همچنین حسابهایی را که توسط Negg Group برای بررسی تحویل نرم افزارهای جاسوسی خود استفاده میشده شناسایی کرده است و حساب هایی را که توسط Mollitiam Industries، شرکت اسپانیایی که سرویس جمع آوری داده ها و نرم افزارهای جاسوسی را با نفوذ به ویندوز، macOS و Android به منظور جمع آوری اطلاعات تبلیغ می کند، شناسایی کرده است.
علاوه بر این، غول رسانههای اجتماعی در شبکههایی از چین، میانمار و اوکراین با حذف بیش از 2 هزار حساب، صفحه و گروه از فیس بوک و اینستاگرام، از رفتارهای مخرب هماهنگ (CIB[1]) جلوگیری نمود.
در حالی که گروه چینی، مخاطبان آمریکایی را با محتوای مرتبط با انتقاد از سیاست خارجی ایالات متحده آمریکا در قبال تایوان و اسرائیل و حمایت این کشور از اوکراین مورد هدف قرار می دهد، شبکه ای که از میانمار نشات می گیرد ساکنان خود را با مقالات اصلی که ارتش برمه را ستایش می کند و سازمان های مسلح قومی را تحقیر می کرد، مورد هدف قرار داده است.
گروه سوم به دلیل استفاده از صفحات و گروه های جعلی برای ارسال محتوایی که از Viktor Razvadovskyi (ویکتور رازوادوفسکی)، سیاستمدار اوکراینی حمایت می کند، قابل توجه است، در حالی که «نظرات حمایتی درباره دولت فعلی و نظرات انتقادی درباره مخالفان» در قزاقستان را به اشتراک می گذارد.
این توسعه زمانی صورت میپذیرد که ائتلافی از دولت و شرکت های فناوری، از جمله شرکت متا، توافق نامهای را جهت جلوگیری از سوء استفاده از نرم افزارهای جاسوسی تجاری به منظور نقض حقوق بشر امضا کردهاند.
این شرکت ویژگی های جدیدی مانند یکپارچگی جریان کنترل (CFI[2]) را به عنوان اقدام متقابل، در مسنجر برای اندروید و جداسازی حافظه VoIP برای WhatsApp در تلاشی جهت ایمن سازی و کاهش سطح حمله کلی معرفی کرده است. گفته می شود، صنعت نظارت به شکل های بی شمار و غیرمنتظره به رشد خود ادامه می دهد.
ISA[3]، شرکت اسرائیلی سازنده محصول در وب سایت خود ادعا کرد، Patternz به آژانسهای امنیت ملی این امکان را می دهد که از داده های تولید شده تبلیغات کاربر در زمان واقعی برای شناسایی، نظارت و پیش بینی اقدامات کاربران، تهدیدات امنیتی و ناهنجاری ها بر اساس رفتار کاربران، الگوهای مکان و ویژگی های استفاده از تلفن همراه استفاده نمایند.
سپس Enea هفته گذشته از یک حمله ناشناخته شبکه تلفن همراه به نام MMS Fingerprint که گفته می شود توسط NSO Group سازنده Pegasus انجام شده بود، خبر داد. جزئیات مربوط به این تکنیک در قراردادی در سال 2015 بین شرکت اسرائیلی و تنظیم کننده مخابرات غنا گنجانده شد.
در حالی که روش دقیق استفاده شده در حمله همچنان نامشخص باقی مانده است، شرکت امنیتی مخابرات سوئدی مشکوک است که احتمالاً این حمله شامل استفاده از MM1_notification.REQ میباشد، نوع خاصی از پیام کوتاه به نام SMS باینری که دستگاه گیرنده را از یک MMS که در انتظار بازیابی در مرکز خدمات پیام چندرسانه ای (MMSC) است، مطلع می کند.
سپس MMS با استفاده از MM1_retrieve.REQ و MM1_retrieve.RES واکشی می شود که اولی یک درخواست HTTP GET به آدرس URL موجود در پیام MM1_notification.REQ است.
نکته قابل توجه تکنیک فوق این است که اطلاعات دستگاه کاربر مانند User-Agent (متفاوت از رشته User-Agent مرورگر وب) و x-wap-profile در درخواست GET تعبیه شده است و در نتیجه به عنوان یک نوع اثر انگشت عمل می کند.
Enea طی گزارشی که در پانزدهم فوریه منتشر نمود، اظهار داشت که MMS حاوی رشته ای است که معمولاً سیستم عامل و دستگاه را شناسایی می کند. “x-wap-profile به یک فایل UAProf اشاره می کند که قابلیت های یک گوشی موبایل را توصیف می کند.
یک عامل تهدید که به دنبال استقرار نرم افزارهای جاسوسی است می تواند از این اطلاعات به منظور سوء استفاده از آسیب پذیری های خاص استفاده کند، پیلودهای مخرب خود را برای دستگاه مورد نظر تنظیم کند، یا حتی کمپین های فیشینگ مؤثرتری ایجاد نماید. با این حال، هیچ مدرکی وجود ندارد که نشان دهد این حفره امنیتی در ماه های اخیر مورد سوء استفاده قرار گرفته است.
[1] coordinated inauthentic behavior
[2] Control Flow Integrity
[3] International Society of Automation
