草根影響力新視野 夜未央編譯

如果你是美國軍方的一員，幾個月來一直從私營部門招聘人員那裡收到友好的 Facebook 消息，暗示航空行業或國防承包商行業的未來利潤豐厚，那麼 Facebook 可能會有一些壞消息。

週四，這家社交媒體巨頭透露，它已經追蹤並至少部分擾亂了一場長期運行的伊朗駭客活動，該活動使用 Facebook 帳戶偽裝成招聘人員，向美國目標發送受惡意軟體感染的文件或誘騙他們向釣魚網站提交敏感憑據。 Facebook 表示，駭客還假裝在酒店或醫療行業、新聞業、非政府組織或航空公司工作，有時在幾個不同的社交媒體平台上使用個人資料與他們的目標接觸數月。與之前一些針對伊朗鄰國的伊朗國家資助的社交媒體釣魚案例不同，這次最新的活動似乎主要針對美國人，在較小程度上針對英國和歐洲的受害者。

Facebook 表示，作為調查的結果，它已經從其平台上刪除了「不到 200」個虛假個人資料，並通知了大致相同數量的 Facebook 用戶，駭客已經將他們作為目標。 「我們的調查發現，Facebook 是一項更廣泛的間諜活動的一部分，該活動針對的是跨多個社交媒體平台、電子郵件和合作網站的網路釣魚、社交工程、欺騙網站和惡意領域的人，」Facebook 威脅中斷主管大衛·阿格拉諾維奇 (David Agranovich) 週四在與媒體的電話會議中表示。

Facebook 已將社交工程活動背後的駭客確定為被稱為 Tortoiseshell 的組織，據信代表伊朗政府工作。該組織與其他以 APT34 或 Helix Kitten 和 APT35 或 Charming Kitten 為人所知的伊朗知名組織有一些鬆散的聯繫和相似之處，於 2019 年首次曝光。當時，安全公司賽門鐵克發現黑客在一次明顯的供應鏈攻擊中破壞了沙特阿拉伯的 IT 提供商，該攻擊旨在用一種稱為 Syskit 的惡意軟體感染該公司的客戶。Facebook 發現了在這次最新的駭客活動中使用的相同惡意軟體，但其感染技術範圍要廣泛得多，目標是美國和其他西方國家，而不是中東。

據安全公司 Mandiant 稱，Tortoiseshell 似乎從一開始就選擇了社交工程而不是供應鏈攻擊，最早在 2018 年就開始了社交媒體的釣魚活動。 Mandiant 威脅情報副總裁約翰·霍特奎斯特（John Hultquist）表示，這不僅僅包括 Facebook。「從一些最早的行動開始，他們用非常複雜的社交媒體計劃彌補了非常簡單的技術方法，這是伊朗非常擅長的領域，」霍特奎斯特說。

2019 年，思科（Cisco）的 Talos 安全部門發現 Tortoiseshell 運行著一個名為 Hire Military Heroes 的虛假退伍軍人網站，旨在誘騙受害者在他們的電腦上安裝一個包含惡意軟體的桌面應用程式。Talos 情報小組的主管克雷格·威廉姆斯 (Craig Williams) 表示，虛假網站和 Facebook 確定的更大範圍的活動都表明，試圖尋找私營部門工作的軍事人員如何成為間諜的成熟目標。「我們面臨的問題是，退伍軍人過渡到商業世界是一個巨大的行業，」威廉姆斯說。 「壞人可以找到會犯錯誤的人，他們會點擊他們不應該做的事情，他們會被某些提議所吸引。」

Facebook 警告說，該組織還欺騙了美國勞工部的網站；該公司提供的集團的虛假域名列表，有模擬的新聞媒體網站，YouTube和LiveLeak，以及許多不同形式變化的川普家庭和川普組織相關的網址。

資料來源：https://www.wired.com/