Facebook dijo el jueves que eliminó unas 200 cuentas gestionadas por un grupo de hackers en Irán como parte de una operación de ciberespionaje dirigida principalmente a personal militar estadounidense y a personas que trabajan en empresas de defensa y aeroespaciales.
El gigante de las redes sociales dijo que el grupo, apodado “Tortoiseshell” por los expertos en seguridad, utilizó identidades falsas en línea para conectarse con los objetivos, construir confianzas en el transcurso de varios meses y conducirlos a otros sitios donde fueron engañados para hacer clic en enlaces maliciosos que infectarían sus dispositivos con malware de espionaje.
“Esta actividad tenía las características de una operación bien dotada de recursos y persistente, al tiempo que se apoyaba en medidas de seguridad operacional relativamente fuertes para ocultar quién estaba detrás de ella”, dijo el equipo de investigación de Facebook en una publicación.
El grupo, según Facebook, creó perfiles ficticios en múltiples plataformas de redes sociales para parecer más creíble, a menudo haciéndose pasar por reclutadores o empleados de empresas aeroespaciales y de defensa.
LinkedIn, propiedad de Microsoft, dijo que había eliminado varias cuentas y Twitter expresó que está “investigando activamente” la información del reporte de Facebook.
Facebook dijo que el grupo utilizó correos electrónicos y servicios de mensajería y colaboración para distribuir el malware, incluso a través de hojas de cálculo maliciosas de Microsoft Excel. Un portavoz de Microsoft dijo en un comunicado que estaba al tanto de este hecho y lo estaba rastreando y que la compañía toma medidas cuando detecta actividad maliciosa.
Google de Alphabet Inc dijo que había detectado y bloqueado el phishing en Gmail y emitió advertencias a sus usuarios. La aplicación de mensajería para el trabajo Slack Technologies Inc dijo que había actuado para acabar con los piratas informáticos que utilizaban el sitio para la ingeniería social y cerrar todos los espacios de trabajo que violaban sus reglas.
Los hackers también utilizaron dominios adaptados para atraer a sus objetivos, dijo Facebook, incluyendo sitios web de reclutamiento falsos para las empresas de defensa, y estableció una infraestructura en línea que suplantó un sitio web legítimo de búsqueda de empleo para el Departamento de Trabajo de Estados Unidos.
Facebook dijo que los piratas informáticos se dirigieron principalmente a personas en Estados Unidos, así como a algunas en el Reino Unido y Europa, en una campaña que se desarrolla desde mediados de 2020. Se negó a nombrar a las empresas cuyos empleados fueron atacados, pero su jefe de ciberespionaje Mike Dvilyanski dijo que estaba notificando a los “menos de 200 individuos” que fueron atacados.
La campaña parece mostrar una expansión de la actividad del grupo, que anteriormente se había concentrado sobre todo en el sector informático y otras industrias de Medio Oriente, dijo Facebook. La investigación descubrió que parte del malware utilizado por el grupo fue desarrollado por Mahak Rayan Afraz (MRA), una empresa de informática con sede en Teherán y vinculada al Cuerpo de la Guardia Revolucionaria Islámica.
(Con información de Reuters)
Seguir leyendo: