Facebook informó el jueves de que había eliminado unas 200 cuentas gestionadas por un grupo de hackers de Irán en el marco de una operación de ciberespionaje dirigida principalmente a personal militar estadounidense y a personas que trabajan en empresas de defensa y aeroespaciales.
El gigante de las redes sociales dijo que el grupo, apodado “Tortoiseshell” por los expertos en seguridad, utilizó personas falsas en línea para conectarse con los objetivos, construir la confianza a veces en el transcurso de varios meses y conducirlos a otros sitios donde fueron engañados para hacer clic en enlaces maliciosos que infectarían sus dispositivos con malware de espionaje.
“Esta actividad tenía las características de una operación bien dotada de recursos y persistente, al tiempo que se apoyaba en medidas de seguridad operativa relativamente fuertes para ocultar quién estaba detrás de ella”, dijo el equipo de investigación de Facebook en un blog.
El grupo, según Facebook, creó perfiles ficticios en múltiples plataformas de redes sociales para parecer más creíble, a menudo haciéndose pasar por reclutadores o empleados de empresas aeroespaciales y de defensa. LinkedIn, propiedad de Microsoft, dijo que había eliminado varias cuentas y Twitter dijo que estaba “investigando activamente” la información del informe de Facebook.
Facebook dijo que el grupo utilizó el correo electrónico, la mensajería y los servicios de colaboración para distribuir el malware, incluso a través de hojas de cálculo maliciosas de Microsoft Excel. Un portavoz de Microsoft dijo en un comunicado que estaba al tanto de este actor y lo estaba rastreando, y que toma medidas cuando detecta actividad maliciosa.
Alphabet Inc dijo que había detectado y bloqueado el phishing en Gmail y emitió advertencias a sus usuarios. La aplicación de mensajería en el lugar de trabajo Slack Technologies Inc dijo que había actuado para acabar con los piratas informáticos que utilizaban el sitio para la ingeniería social y cerrar todos los espacios de trabajo que violaban sus normas.
Los hackers también utilizaron dominios adaptados para atraer a sus objetivos, dijo Facebook, incluyendo sitios web de reclutamiento falsos para las empresas de defensa, y creó una infraestructura en línea que falsificó un sitio web legítimo de búsqueda de empleo para el Departamento de Trabajo de Estados Unidos.
Facebook dijo que los hackers se dirigieron principalmente a personas de Estados Unidos, así como a algunas del Reino Unido y Europa. Facebook se negó a nombrar a las empresas cuyos empleados fueron atacados, pero dijo que estaba notificando a las personas afectadas.
La campaña parece mostrar una expansión de la actividad del grupo, que anteriormente se había concentrado sobre todo en el sector informático y otras industrias de Oriente Medio, dijo Facebook. La investigación descubrió que parte del malware utilizado por el grupo fue desarrollado por Mahak Rayan Afraz (MRA), una empresa de informática con sede en Teherán y vinculada al Cuerpo de la Guardia Revolucionaria Islámica.
Reuters no pudo localizar inmediatamente la información de contacto de Mahak Rayan Afraz y los antiguos empleados de la empresa no devolvieron inmediatamente los mensajes enviados a través de LinkedIn. La misión de Irán ante las Naciones Unidas en Nueva York no respondió inmediatamente a una solicitud de comentarios.