Facebook révèle avoir pris des mesures pour perturber une campagne de cyberespionnage. Menée par un groupe de hackers en Chine, elle a utilisé la plateforme du réseau social pour contribuer à la propagation d'un malware sur des appareils iOS et Android.

Le partage de domaines malveillants a ainsi été bloqué sur Facebook, des comptes ont été supprimés, tandis les personnes susceptibles d'être prises pour cible par le groupe de hackers ont été alertées. En l'occurrence, des militants, journalistes et dissidents parmi les Ouïghours.

Selon Facebook, ils viennent du Xinjiang en Chine et vivent principalement en Turquie, au Kazakhstan, aux États-Unis, en Syrie, en Australie, au Canada et dans d'autres pays.

Le groupe de hackers a eu recours à de faux comptes sur Facebook afin de créer des personnages fictifs se faisant passer pour des journalistes, étudiants, défenseurs des droits de l'homme ou des membres de la communauté ouïghour. Une manière de gagner la confiance des personnes prises pour cible et les inciter à cliquer sur des liens malveillants.

Une infection hors de Facebook

L'infection par un malware a eu lieu sur des sites piégés spécialement conçus, voire sur des sites légitimes compromis. Un exemple cité est celui de pages web contenant du code JavaScript malveillant et pour installer un malware iOS connu en tant que Insomnia (pour l'exfiltration de données de plusieurs applications) via l'exploitation d'un ensemble de vulnérabilités iOS.

Ce nom avait été donné par des chercheurs en sécurité de Volexity. Ils avaient révélé au printemps 2020 un exploit WebKit pour des iPhone avec des versions 12.3, 12.3.1 et 12.3.2 d'iOS (avec une correction dans iOS 12.4). Toutefois, Project Zero de Google avait déjà documenté à l'été 2019 des vulnérabilités iOS exploitées pour l'installation d'un malware.

volexity-iphone-malware-insomnia
Afin d'éviter la détection d'Insomnia, les exploits étaient uniquement diffusés auprès de personnes ayant passé certaines vérifications techniques, dont l'adresse IP et le paramétrage de la langue.

Facebook a également découvert des sites imitant des boutiques d'applications tierces pour Android et proposant des applications sur la thématique de la communauté ouïghour (clavier, application de prière et dictionnaire notamment). Des chevaux de Troie pour une infection avec des souches de malware ActionSpy ou PluginPhantom.

Deux entreprises basées en Chine auraient développé certains des malwares pour Android. Facebook donne également un nom pour le groupe de hackers derrière la campagne de cyberespionnage : Earth Empusa ou Evil Eye. Un groupe de cyberespionnage chinois déjà connu par des sociétés de cybersécurité.

Si le nombre d'utilisateurs touchés par l'entremise de Facebook semble minime, ce n'est qu'un aspect d'une campagne de cyberespionnage manifestement de longue haleine.