Meta’ya göre, Güney Afrika’daki iki siber casusluk operasyonuna karşı harekete geçildi. Bitter APT ve APT36 hakkında işlem yapılmıştır.
Duyuru, şirket tarafından geçen Perşembe günü, Çeyrek Aylık Olumsuz Tehdit Raporu, İkinci Çeyrek 2022’de yapıldı.
Raporda, Meta’nın Küresel Tehdit İstihbaratı Lideri Ben Ninmo ve Tehdit Bozma Direktörü David Agranovich, Meta’nın dünya çapında ve birden fazla politika ihlali karşısında gördüğü riskler hakkında bilgi verdi.
Raporda şunlar belirtildi: “Güvenlik endüstrisinde Bitter APT olarak bilinen ve Güney Asya dışında faaliyet gösteren ve Yeni Zelanda, Hindistan, Pakistan ve Birleşik Krallık’taki insanları hedef alan bir grup bilgisayar korsanına karşı harekete geçtik.”
Operasyonla ilgili olarak Meta, grubun gelişmişlik ve operasyonel güvenlik açısından nispeten düşük olmasına rağmen iyi kaynaklara sahip ve kalıcı olduğunu söyledi.
“Bitter, insanları sosyal mühendislikle çevrimiçi olarak hedeflemek ve cihazlarına kötü amaçlı yazılım bulaştırmak için çeşitli kötü niyetli taktikler kullandı.”
Grup, kötü amaçlı yazılımlarını dağıtmak için kötü amaçlı etki alanları, güvenliği ihlal edilmiş web siteleri, bağlantı kısaltma hizmetleri ve üçüncü taraf barındırma sağlayıcıları kullanırdı.
Taktikler, teknikler ve prosedürler (TTP’ler) açısından, Bitter muhtemelen bir iOS uygulaması, sosyal mühendislik, Dracarys adlı bir Android kötü amaçlı yazılım Meta ve çekişmeli uyarlamanın bir karışımını kullanırdı.
Şirket, soruşturmasının Pakistan’daki devlet bağlantılı aktörlerle APT36 ile ilgili faaliyetlerle bağlantılı olduğunu söyledi.
“[The group] askeri personel, hükümet yetkilileri, insan hakları çalışanları ve diğer kar amacı gütmeyen kuruluşlar ve öğrenciler de dahil olmak üzere Afganistan, Hindistan, Pakistan, BAE ve Suudi Arabistan’daki insanları hedef aldı.”
Meta, APT36’nın TTP’sinin karmaşıklık açısından nispeten düşük olduğunu söyledi.
“Bu tehdit aktörü, düşük düzeyde gelişmiş grupların karmaşık saldırı yetenekleri geliştirmeye veya satın almaya yatırım yapmak yerine, açık olarak kullanılabilen kötü amaçlı araçlara güvenmeyi seçtiği küresel bir eğilimin iyi bir örneğidir.”
“Bu nedenle, APT36 bir dizi farklı kötü amaçlı yazılım ailesi kullanmasıyla biliniyor ve bu son operasyonda WhatsApp, WeChat ve YouTube’un (resmi olmayan) sürümlerini Mobzsar veya CapraSpy olarak bilinen başka bir kötü amaçlı kötü amaçlı yazılım ailesiyle trojanlaştırdığını gördük. ”
Meta’ya göre, bu düşük maliyetli araçlar, dağıtmak için daha az teknik bilgi gerektiriyor, ancak saldırganlar için iyi sonuçlar veriyorlar.
“Giriş engeli azaldıkça, bilgisayar korsanlığı ve gözetleme yeteneklerine erişimi demokratikleştiriyor. Ayrıca, bu grupların güvenlik araştırmacıları tarafından incelenirken ‘gürültüde’ saklanmalarına ve makul bir inkar edilebilirlik kazanmalarına izin veriyor.”