下载恶意软件 Facebook破坏追逐美国军事目标的伊朗黑客活动

社交媒体平台Facebook透露，它跟踪并破坏了一场长期运行的伊朗黑客活动，该活动使用Facebook帐户伪装成雇主，针对美国人群，利用社会工程技术发送受恶意软件感染的文件或诱骗目标对象发送敏感凭据到钓鱼网站。

Facebook表示，这些黑客假装在酒店、医疗行业、新闻业、非政府组织或航空公司工作，有时会在许多不同的社交媒体平台上，使用不同的个人资料与目标人员互动数月。

与之前伊朗在国家赞助的社交媒体上对伊朗邻国进行钓鱼的一些案例相比，这次最新的活动似乎主要针对美国人，在较小程度上针对来自英国和欧洲的目标人群。

Facebook表示，作为调查结果，它已从平台上删除了“不到200个”虚假个人资料。

Facebook安全威胁主管大卫·阿格拉诺维奇表示：“我们的调查发现，Facebook是一项更广泛的间谍活动的一部分，该活动通过网络钓鱼、社会工程、欺骗性网站和跨多个社交媒体平台、电子邮件和协作网站的恶意域来针对人们。”

Facebook确定了社会工程活动背后的黑客属于Tortoiseshell组织，据信该组织代表伊朗政府运作。

该组织与其他著名的伊朗组织有一些联系和相似之处，于2019年首次出现。 当时，安全公司赛门铁克发现这些黑客在一次明显的供应链攻击中入侵了沙特阿拉伯的信息技术供应商，旨在使用一种名为Syskit 的恶意软件感染该公司客户。

Facebook 检测到最近黑客活动中使用的恶意软件与上述软件相同，但使用了更广泛的感染技术，针对目标是美国和其他西方国家而不是中东。

据安全公司Mandiant称，Tortoiseshell似乎从一开始就选择使用社会工程技术来发起供应链攻击，它早在2018年就开始了其社交媒体活动。

Mandiant 负责威胁情报的副总裁约翰·霍尔特奎斯特说：“此次事件涉及的不仅仅是 Facebook。从一些非常早期的操作来看，事实证明他们正在用非常复杂的社交媒体计划来补偿精简的技术，这就是伊朗擅长的领域。”

2019年，思科安全部门Talos发现了Tortoiseshell运营的一个名为Hire Military Heroes的虚构退伍军人网站，该网站旨在通过安装包含恶意软件的桌面应用程序来欺骗受害者。

Talos情报组主管克雷格·威廉姆斯表示，虚假网站和Facebook上的大型活动将试图在私营部门寻找工作的军事人员确定为入侵的合适目标。

“我们面临的问题是，进入交易世界的老手是一大群人，”威廉姆斯补充道。 “坏人可以找到犯错的人，他们会点击他们不应该点的内容，并且会被某些建议所吸引。”

Facebook警告该组织还冒充了美国劳工部网站，并提供了该组织冒充的新闻媒体网站、YouTube版本、LiveLeak和许多其他热门网站的虚假域名列表。

Facebook表示，该组织的恶意软件样本与名为Mohak Ryan Afraz的德黑兰信息技术承包商有关，该承包商此前曾向伊朗革命卫队提供恶意软件。