Filistin’deki iki ayrı hacker grubuna karşı çeşitli önlemler aldığını duyuran Facebook, saldırganların Filistin dışında Türkiye, Irak, Lübnan ve Libya’daki kullanıcıları hedeflediğini açıkladı.
“- Bildiğimiz kadarıyla bu, Filistin’deki siber suç etkinliklerinin ilk halka açık raporlaması…”
Facebook Siber Casusluk Soruştırmaları Başkanı David Agranovich, yayınladığı duyuruda yukarıdaki ifadeyi kullanırken Filistin merkezli olduğunu belirttiği, birbirinden bağımsız iki ayrı grubun neler yaptığını ve kurum olarak aldıkları önlemleri aktardı.
Tespit ettikleri iki grubun Facebook platformunu kötüye kullanmak için çaba içinde olduğunu kaydeden Agranovich, bu grupların kötü amaçlı yazılımları dağıtma ve kullanıcıların hesaplarını ele geçirmek için çalıştıklarını ifade etti. Gruplardan birinin öncelikli amacının Filistin’deki Facebook kullanıcıları olduğunu belirten Agranovich, ikinci grubun ise Filistin’le birlikte Suriye ve daha az ölçüde Türkiye, Irak, Lübnan ve Libya’daki kullanıcıları hedef aldığını kaydetti.
Facebook’un tespit ettiği faaliyetler
Grupların kötü amaçlı yazılım dağıtmak için çeşitli linkler paylaştıklarını ve sosyal mühendislik yöntemlerinden yararlandıklarını belirten Agranovich, araştırma bulgularına dair verileri de paylaşıyor. Açıklanan üç ana konu ve etkileri şu şekilde sıralanıyor:
Android sistemler için kötü amaçlı yazılımlar: Grup tarafından özel olarak oluşturulmuş Android tabanlı kötü amaçlı yazılımların nispeten basit fonksiyonlar içerdiği ve sınırlı sayıda cihaz tarafından kullanılabildiği belirtiliyor. Bu yazılım, güvenli sohbet uygulaması kılığında yaygınlaşmaya çalışıyor ve yüklenmesinin ardından üretici bilgileri, işletim sistemi sürümü, IMEI numarası gibi cihaz meta verileri dışında arama günlükleri, konum bilgisi, kişi listesi ve kısa mesajlar gibi bilgileri topluyor. Facebook, nadir olarak keylogger fonksiyonuna sahip örneklerle de karşılaşıldığını açıklarken aynı grubun, kendi uygulamalarına ek olarak daha fazla fonksiyonu içeren SpyNote isimli bir Andoid kötü amaçlı yazılımını da kullandıklarına dikkat çekiyor.
Windows sistemler için kötü amaçlı yazılım: Bu grubun, bölgede yaygın olarak kullanılan NJRat ve HWorm dahil olmak üzere Windows için genel kullanıma açık kötü amaçlı yazılımları dağıttığını belirten Facebook, ek olarak gazetecilerin insan haklarıyla ilgili makalelerini göndermeleri için kullanılan bir uygulamanın yükleme paketine kendi kötü amaçlı yazılımlarını dahil ettiklerinin altını çiziyor.
Sosyal mühendislik: Tespit ettikleri sosyal mühendislik uygulamasının, kötü amaçlı yazılımı dağıtabilmek adına öncelikle genç kadınlar ve Hamas, El Fetih, çeşitli askeri gruplar, gazeteciler ve aktivistlerin destekçileri olarak oluşan hayali kişiler oluşturmak için sahte hesaplar kullandığı belirtiliyor.Takipçi sayısını artırmak amacıyla Rusya’nın Orta Doğu’ya yönelik dış politikası, Rus askeri yüklenici kurumlardan biri olan Wagner Group’un Suriye ve Libya’daki rolünü eleştiren yazılar yayınlandığı kaydediliyor.
Facebook hangi önlemleri aldı?
David Agranovich, grupların tespit edilmesinin ardından ilgili hesapları kapattıklarını, kötü amaçlı yazılıma yönelik uyarılar yayınladıklarını, grupların etkinlikleriyle ilişkili etki alanlarını engellediklerini ve etkilenmiş olabilecek kişileri uyardıklarını ifade ediyor. İnsanların tetikte olması gerektiğini belirten Agranovich, hesapların korunması için şüpheli bağlantılara tıklanmaması gerektiğini ve güvenilir olmayan kaynaklarda bulunan dosyaları indirmemeleri gerektiğini sözlerine ekliyor.