Các công ty gián điệp "đánh thuê" nhắm mục tiêu vào 50.000 người

Meta cho biết, đã tống khứ 6 "lính đánh thuê mạng" bị cáo buộc là "gián điệp đánh thuê", cùng với một nhà cung cấp thực thi pháp luật bí ẩn. Meta cáo buộc các thực thể này đang nhắm mục tiêu tập thể với khoảng 50.000 người để giám sát họ.

Trong một báo cáo có tựa đề "Báo cáo về mối đe dọa đối với ngành công nghiệp giám sát cho thuê" được công bố vào ngày 16/12/2021, Meta cho biết sau một cuộc điều tra kéo dài 1 tháng, Meta đã xóa 1.500 tài khoản giả mạo có liên quan đến việc do thám của các thực thể gián điệp, bị cáo buộc tham gia và/hoặc bóc lột các nạn nhân.

Ngoài ra, Meta đã chia sẻ phát hiện của mình với các nền tảng khác và các nhà nghiên cứu bảo mật, họ cũng đã đưa ra cảnh báo chấm dứt hoạt động với 6 trong số các nhóm và bắt đầu cảnh báo những người bị nhắm mục tiêu tại hơn 100 quốc gia.

Báo cáo nói trên cho biết: "Ngành công nghiệp cho thuê giám sát toàn cầu nhắm vào mọi người để thu thập thông tin tình báo, thao túng, xâm phạm thiết bị và tài khoản của họ trên Internet. Trong khi những 'lính đánh thuê mạng' này thường tuyên bố, dịch vụ của họ chỉ nhắm mục tiêu vào tội phạm và khủng bố,... nhưng cuộc điều tra của chúng tôi kết luận họ nhắm mục tiêu vào nhiều đối tượng khác nhau".

Meta cho biết, ngành công nghiệp phần mềm gián điệp vượt xa qui mô của công ty phần mềm gián điệp khét tiếng của Israel là NSO Group, nó "chỉ là một phần của hệ sinh thái đánh thuê mạng toàn cầu rộng lớn hơn nhiều". Facebook đã kiện NSO Group - nhà phát triển phần mềm gián điệp cấp độ công nghiệp, khét tiếng Pegasus vào năm 2019 về một cuộc tấn công bị cáo buộc là khai thác lỗ hổng zero-day trong nền tảng nhắn tin của WhatsApp để đưa phần mềm gián điệp vào điện thoại của nạn nhân.

7  thực thể phần mềm gián điệp bị Facebook cấm

Dưới đây là các thực thể sử dụng phần mềm gián điệp (spyware) bị Facebook cấm hoạt động trên nền tảng của họ:

Cobwebs Technologies: Công ty tiếp thị phần mềm gián điệp mà báo cáo của Meta cho biết đã được sử dụng để "nhắm mục tiêu thường xuyên đến các nhà hoạt động, và các quan chức chính phủ ở Hồng Kông và Mexico". Khoảng 200 tài khoản được liên kết với Cobwebs bị cáo buộc là đã giúp khách hàng của công ty này do thám trên các trang mạng xã hội và web đen.

Cognyte (trước đây được gọi là WebintPro): Meta đã xóa khoảng 100 tài khoản giả mạo trên Facebook và Instagram có liên kết với công ty này. Meta tuyên bố, Cognyte tiếp thị một nền tảng để quản lý các tài khoản giả trên Facebook, Instagram, Twitter, YouTube và VKontakte (VK) và các trang web khác với mục đích dành cho những người làm kỹ thuật xã hội và thu thập dữ liệu.

Black Cube: Meta cho biết công ty này chuyên bán kỹ thuật xã hội và thu thập thông tin tình báo. Meta đã xóa 300 tài khoản được liên kết với Black Cube. Theo đó, công ty này đã vận hành các hồ sơ giả phù hợp với mục tiêu của nó. Một số người trong số họ đóng giả là sinh viên tốt nghiệp, tổ chức phi chính phủ, nhà sản xuất phim và truyền hình bị cáo buộc đã cố gắng thiết lập các cuộc gọi và lấy địa chỉ email cá nhân của mục tiêu, "có khả năng xảy ra các cuộc tấn công lừa đảo sau này", theo báo cáo.

Bluehawk CI: Meta cho biết, công ty bán phần mềm gián điệp này đã tạo ra các nhân vật giả mạo, bao gồm một nhân vật là phóng viên Fox News và một nhân vật khác được cho là một nhà báo ở Ý. Hai tài khoản giả mạo được cho là đã được sử dụng để kích động những người có hận thù với tiểu vương quốc Ras Al Khaimah ở UAE. Meta cho biết, đã xóa khoảng 100 tài khoản Facebook có liên kết với Bluehawk.

BellTroX: Theo báo cáo của Citizen Lab và Reuters, công ty này bị cáo buộc nhắm mục tiêu vào quan chức của các chính phủ ở châu Âu, những ông trùm cờ bạc ở Bahamas và các nhà đầu tư Mỹ, bao gồm cả công ty cổ phần tư nhân khổng lồ KKR và Muddy Waters. Meta đã xóa khoảng 400 tài khoản giả mạo liên kết với BellTroX, được cho là dùng để do thám, kỹ thuật xã hội và gửi các liên kết độc hại, có khả năng tấn công lừa đảo. 

Cytrox: Meta đã kết nối công ty này với 300 tài khoản Facebook và Instagram giả, hiện đã bị xóa. Meta cho biết đã phát hiện ra một cơ sở hạ tầng có tên miền "rộng lớn" mà họ tin rằng đã được Cytrox sử dụng để giả mạo các cơ sở tin tức hợp pháp ở các quốc gia được nhắm mục tiêu, bắt chước các dịch vụ truyền thông xã hội và rút ngắn URL hợp pháp. 

Báo cáo bao gồm một phụ lục liệt kê hàng trăm tên miền mà các nhà điều tra tin rằng Cytrox đã sử dụng như một phần của các chiến dịch lừa đảo. Cytrox và các khách hàng của họ bị cáo buộc đã điều chỉnh các cuộc tấn công "bằng cách chỉ lây nhiễm phần mềm độc hại cho mọi người khi họ vượt qua một số bài kiểm tra kỹ thuật nhất định, bao gồm địa chỉ IP và loại thiết bị. Nếu việc kiểm tra không thành công, mọi người có thể được chuyển hướng đến tin tức hợp pháp hoặc các trang web khác".

"Một thực thể không xác định": Meta chưa thể xác định chính xác ai đứng sau 100 tài khoản Facebook và Instagram giả mạo, nhưng nói rằng pháp nhân đã phát triển phần mềm giám sát cho các hệ điều hành Android, iOS, Windows, Linux, Mac OS X và Solaris.

Ba giai đoạn của các hoạt động nhắm mục tiêu

Vẫn theo Meta, các tổ chức hoạt động theo ba giai đoạn của các hoạt động nhắm mục tiêu, cụ thể: "do thám" thông qua phần mềm tự động; "Tham gia", nhằm tạo dựng niềm tin với cá nhân; và "khai thác" qua email và tin nhắn lừa đảo.

Meta cho biết: "Mặc dù các cuộc tranh luận công khai chủ yếu tập trung vào giai đoạn khai thác, nhưng điều quan trọng là phải làm gián đoạn toàn bộ vòng đời của cuộc tấn công vì phải có các giai đoạn trước thì mới có các giai đoạn sau. Nếu chúng ta có thể cùng nhau giải quyết mối đe dọa này sớm hơn trong chuỗi giám sát, điều đó sẽ giúp ngăn chặn tác hại trước khi nó đi đến giai đoạn cuối cùng, nghiêm trọng nhất của việc xâm phạm thiết bị và tài khoản của người dùng."

Gã khổng lồ truyền thông xã hội cho biết các thực thể bị xóa đã vi phạm Tiêu chuẩn cộng đồng và Điều khoản dịch vụ của họ.

"Với mức độ nghiêm trọng của các vi phạm, chúng tôi đã cấm họ tham gia các dịch vụ của mình. Để giúp làm gián đoạn các hoạt động này, chúng tôi đã chặn cơ sở hạ tầng Internet liên quan và gửi đi thư ngừng và hủy đăng ký, thông báo rằng việc họ nhắm mục tiêu vào mọi người thì sẽ không có chỗ trên nền tảng của chúng tôi," Meta nói thêm.

"Chúng tôi cũng chia sẻ những phát hiện của mình với các nhà nghiên cứu bảo mật, các nền tảng khác và các nhà hoạch định chính sách để họ có thể thực hiện hành động thích hợp."

Có những dấu hiệu cho thấy chính phủ Mỹ hiện đang xem xét hoạt động của các công ty giám sát như thế này một cách nghiêm túc.

Vào tháng 11/2021, Bộ Tài chính Mỹ đã thêm NSO Group vào danh sách các pháp nhân bị cấm vận của họ, khiến cho công ty này khó mua được linh kiện từ các công ty Mỹ hơn.

Tài liệu tham khảo:

[1]. https://threatpost.com/facebook-bans-spy-hire/177149

[2]. https://www.infosecurity-magazine.com/news/meta-surveillanceforhire-firms-hit