Informe de Amenazas Adversarias de Meta, Primer trimestre de 2023

1 año ago

Por Ben Nimmo, líder de Inteligencia sobre Amenazas Globales y Nathaniel Gleicher, jefe de Políticas de Seguridad

Aspectos centrales:

Tomamos acciones contra operaciones de ciberespionaje en el sur de Asia, relacionadas a un grupo de hackers conocido en la industria como Bahamut APT, otro conocido como Patchwork APT y un tercero vinculado al estado de Pakistán.
Removimos seis redes de Comportamiento Inauténtico Coordinado (CIB por sus siglas en inglés) en Estados Unidos, Venezuela, Irán, China, Georgia, Burkina Faso y Togo, que tenían presencia en diversos servicios de internet y buscaban impactar a personas alrededor del mundo.

Hoy, como parte de nuestros reportes trimestrales de amenazas, publicamos una serie de actualizaciones de seguridad, incluyendo nuestro Informe de Amenazas Adversarias del primer trimestre de 2023, y detalles sobre nuestro trabajo contra campañas de malware.

En los últimos cinco años hemos compartido nuestros hallazgos sobre las amenazas que detectamos y eliminamos en nuestras plataformas. En este informe divulgamos información sobre seis redes removidas por infringir nuestras políticas contra lo que llamamos comportamiento inauténtico coordinado (CIB) y sobre tres operaciones de ciberespionaje contra las que también actuamos. Hemos compartido información acerca de estos hallazgos con socios en la industria, investigadores y legisladores.

A continuación algunos aspectos destacados de nuestro primer Informe Trimestral de Amenazas Adversarias de 2023:

Actuamos contra tres operaciones de ciberespionaje en el sur de Asia: Una vinculada a un grupo de hackers conocido en la industria de seguridad como Bahamut APT (Amenaza Avanzada Persistente), otra a un grupo conocido como Patchwork APT y la restante que involucraba a actores ligados al estado en Pakistán.

Diversificando esfuerzos de ingeniería social: Estos APTs se basaron en ingeniería social e invirtieron para que algunas de sus cuentas falsas parecieran personas elaboradas de manera de evitar el escrutinio de los investigadores. Si bien continúan utilizando algunos de los señuelos más tradicionales para este tipo de actividad, como mujeres buscando una conexión romántica, también se hacen pasar por reclutadores de personal, periodistas o personal militar.
Dependencia de malware poco sofisticado: Este tipo de ingeniería social no incluye una inversión elevada en malware. Nuestra investigación sobre estos APTs muestra que un malware barato y poco sofisticado puede ser efectivo para dirigirse a personas cuando es usado combinadamente con ingeniería social. En al menos dos de estas tres operaciones, observamos una reducción del componente malicioso em los apps, posiblemente para asegurar que pudieran ser listados en tiendas oficiales.
Impacto de disrupciones públicas y reporte de amenazas: En respuesta a las continuas disrupciones de APTs que realiza la comunidad de seguridad, estos grupos se ven forzados a a desarrollar nuevas infraestructuras, cambiar sus tácticas e invertir cada vez más en ocultar y diversificar sus operaciones.

También removimos seis operaciones encubiertas de influencia por infringir nuestra política de CIB. Estas redes, que no están conectadas entre ellas, se originaron en Estados Unidos, Venezuela, Irán, China, Georgia, Burkina Faso y Togo. Más de la mitad estaban dedicadas a audiencias fuera de sus países. Eliminamos la mayoría antes de que fueran capaces de construir audiencias auténticas.

Creando entidades ficticias en Internet: En un intento por construir credibilidad, casi todas estas operaciones crearon entidades falsas, incluyendo supuestas organizaciones de medios, grupos hacktivistas y ONGs. Operaban en varias plataformas, entre ellas, Facebook, Twitter, Telegram, YouTube, Medium, TikTok, Blogspot, Reddit, WordPress, freelancer[.]com, foros de hacking y en sus propios sitios web.
Hacktivistas falsos de Irán: La operación de Irán publicó sobre supuestos hacks a organizaciones en Israel, Bahrein y Francia, incluyendo medios de comunicación, compañías de logística y transporte, instituciones educativas, un aeropuerto, un servicio de citas y una institución gubernamental. Esta no es la primera vez que una operación de origen iraní dice haber hackeado los sistemas de gobierno, un dicho similar fue promovido por una red CIB que eliminamos antes de las elecciones presidenciales de 2020 en Estados Unidos.
Operaciones por contratación: Como lo mencionamos en nuestro reporte más reciente, a nivel global continuamos viendo organizaciones por contratación detrás de operaciones de influencia encubiertas. La mitad de lasredes incluidas en este reporte están atribuidas a entidades privadas. Esto incluye una empresa de tecnologías de la información en China, una firma de marketing en Estados Unidos y una consultora de marketing político en República Centroafricana.
La evolución de operaciones de origen chino: Con los hallazgos descriptos en este reporte el total de redes de origen chino eliminadas por incurrir en CIB desde 2017 llega a seis, la mitad de ellas reportadas en los últimos siete meses. Estas últimas remociones muestran un cambio en la naturaleza de la actividad de CIB china que hemos detectado, con nuevos perpetradores de amenazas, nuevas tácticas adversativas y ataques geolocalizados. Sin embargo, seguimos detectándolas y eliminándolas antes de que sean capaces de construir su audiencia. Estas redes experimentaron con un rango de tácticas que no habíamos visto antes en operaciones chinas. Aunque las observamos en otros lugares a lo largo de los años, incluyendo operaciones relacionadas con granjas de troles y empresas de marketing y relaciones públicas. Los últimos comportamientos incluyeron la creación de una empresa ficticia en Occidente, la contratación de escritores freelance alrededor del mundo, el ofrecimiento para reclutar manifestantes y la cooptación a una ONG en África.

Sabemos que las amenazas adversarias seguirán evolucionando en respuesta a nuestra aplicación de políticas y que nuevos comportamientos malintencionados surgirán. Seguiremos refinando nuestro trabajo y compartiendo nuestros hallazgos de forma pública.

Estamos avanzando para erradicar este abuso; es un esfuerzo constante y estamos comprometidos a seguir mejorando para estar un paso adelante.

Consulta el Informe de Amenazas Adversarias completo para más información.

Venezuela y Estados Unidos

Eliminamos 24 cuentas de Facebook, 54 páginas y cuatro cuentas de Instagram por violar nuestra política contra el comportamiento inauténtico coordinado. Esta red fue originada en Venezuela y en Estados Unidos y orientaba su actividad hacia Guatemala y Honduras.

La red tenía presencia en múltiples servicios de Internet, incluyendo Facebook, Twitter, Medium y sitios web asociados con marcas ficticias de «medios de noticias». Ninguna de sus actividades parece haber conseguido captar comunidades auténticas en nuestros servicios.

Las personas que estaban detrás de esta red usaron cuentas falsas –algunas de las cuales fueron detectadas y eliminadas por nuestros sistemas automatizados– para administrar Páginas y perfiles que se hacían pasar por medios de comunicación independientes, marcas de estilo de vida, periodistas independientes y ciudadanos locales en los países a los que se dirigían. A menudo publicaban contenido de otras personas con comentarios extensos, además de compartir publicaciones originales de marcas de medios ficticios. Algunas de estas cuentas tenían nombres cirílicos y probablemente fueron adquiridas en granjas de cuentas en Europa del Este. Algunas Páginas mostraban cuentas de Twitter en sus fotos de portada de Facebook.

Parte de esta actividad consistía en compartir memes y publicaciones de texto de formato largo y corto en español. Llevaron a cabo dos esfuerzos específicos enfocados en la política estatal en Guatemala y la política nacional en Honduras. En Guatemala, esta red se centró en criticar al actual alcalde de San Juan Sacatepéquez. En Honduras, se centraron en la corrupción política y las críticas al presidente del Congreso de Honduras, mientras publicaban comentarios de apoyo al Partido Liberal.

Detectamos esta actividad después de recibir un aviso de periodistas de Reuters. Aunque las personas detrás de la operación intentaron ocultar sus identidades y su coordinación, nuestra investigación encontró vínculos con Predictvia, una empresa registrada en Florida, que opera desde Venezuela y desde Estados Unidos. Prohibimos a esta empresa en nuestros servicios y emitimos una carta de cese y desistimiento.

Presencia en Facebook e Instagram: 24 cuentas de Facebook, 54 Páginas y 4 cuentas de Instagram.
Seguidores: Cerca de 6.700 cuentas siguieron una o más de estas Páginas y alrededor de 400 cuentas siguieron una o más de estas cuentas de Instagram.
Publicidad: Alrededor de 1.650 dólares en inversión publicitaria en Facebook e Instagram, pagados principalmente en dólares estadounidenses.