Meta 从 Facebook、Instagram 删除多个 APT、网络犯罪组织

Facebook 母公司 Meta 表示，它阻止了南亚三个高级持续威胁组织 (APT) 从事网络间谍活动，以及来自全球不同地区的六个敌对组织在 Facebook 和其他社交网络上从事它认为的“不真实行为”。

该公司表示，该公司对其平台上的这些活动和其他活动的取缔表明，威胁行为者在全球范围内持续进行大量剥削行为，以利用各种在线平台创建精心设计的社会工程活动来吸引和利用互联网用户。

根据 Meta 的说法，在大多数情况下，威胁行为者使用 Facebook 和其他社交网络和媒体平台——包括 Twitter、Telegram、YouTube、Medium、TikTok 和 Blogspot——来创建各种虚假的在线账户和角色。该公司表示，攻击者使用虚假身份（包括招聘人员、记者甚至军人）来赢得用户和合法实体的信任，以便他们从事恶意威胁活动。

在发布的季度对抗性威胁报告中， Meta 详细介绍了这些事件以及它现在为最大限度地减少利用其平台的安全威胁而采取的行动。

该报告借鉴了 Meta 对其平台使用情况的安全监控，以及对整个互联网的监控，以标记恶意活动，恶意活动越来越分散在不同的平台和地区，因此更难追踪，Nathaniel Gleicher，负责人Meta 的安全政策负责人在 5 月 2 日的报告简报会上告诉记者。

“这些威胁非常持久，而且它们不会消失，因为它们背后的威胁行为者是出于经济动机，”他说。“这就是为什么我们看到......对抗性适应......包括恶意软件运营商，同时在许多地方传播自己。因此活动的每个阶段都依赖于不同的服务来生存。”

作为其打击此类活动工作的一部分，Meta还计划通过将于今年晚些时候发布的新工具为企业提供支持，以帮助他们识别恶意活动以及威胁组织在其平台上使用的恶意软件。

Gleicher 说：“这项工作的关键之一是从创新中学习，并在每次新的中断时改进我们的安全产品。” “这有助于我们建立新的保护和检测方法，不仅针对特定的威胁行为者，而且针对所有其他希望使用相同技术的威胁行为者。”

他说，攻击者的持续存在激发了他更广泛的 Meta 安全方法。事实上，该公司过去曾因其在其社交媒体平台上广泛传播的安全和隐私威胁而受到批评甚至罚款，并且在过去几年中做出了重大努力来加强其安全游戏。

然而，现在越来越清楚的是，要防止这种活动和由此产生的网络攻击，Meta 和其他互联网公司仅仅监控各自的平台并通知用户和企业恶意活动是不够的，Gleicher 说。

“我们正在提供更广泛的全社会响应，因为妥协通常发生在我们的应用程序和服务之外，”他说。

阻止南亚 APT

该公司表示，作为其安全响应的一部分，Meta 关闭了多个账户，以破坏与针对该地区不同用户的南亚 APT 相关的三个网络。

具体而言，该公司对 Facebook 和 Instagram 上的大约 120 个账户采取了行动，这些账户与一个与巴基斯坦政府有关联的行为者有关联的低级黑客组织有关。该组织主要针对印度和巴基斯坦的人，包括印度的军事人员和巴基斯坦空军的人员。

据 Meta 称，该组织严重依赖由攻击者控制的网站组成的网络，通过针对性很强的活动来分发恶意软件，旨在诱使目标点击恶意链接并下载 Android 或 Windows 恶意软件。

它的策略之一是使用虚构人物角色，例如假国防公司和政府的招聘人员；寻求浪漫关系以与用户建立信任的记者、军人和女性。该公司表示，他们还使用虚假应用程序和网站来传播恶意软件。

Meta 还在 Facebook 和 Instagram 上删除了大约 110 个帐户，这些帐户与一个名为 Bahamut 的 APT 相关联，该组织针对巴基斯坦、印度，包括克什米尔地区的人们。目标包括军人、政府雇员、活动家和其他人。

Bahamut 在互联网上开展了各种活动，包括链接缩短服务、受感染或攻击者控制的网站、官方和欺骗性应用程序商店以及第三方托管服务提供商。报告称，与巴基斯坦 APT 一样，他们拥有一系列虚构角色，目的是诱骗南亚人提供信息或破坏移动设备，主要是通过使用 Android 恶意软件。

Meta 还针对另一个总部位于印度的威胁组织 Patchwork APT，关闭了 Facebook 和 Instagram 上与其活动相关的约 50 个帐户。该公司表示，该组织针对巴基斯坦、印度、孟加拉国、斯里兰卡、西藏地区和中国的人群，包括军人、活动人士和少数民族。

与其他 APT 一样，Patchwork 还在网上创建和维护一系列虚构人物角色和帐户，其中一些伪装成英国或阿联酋的记者，为合法和虚假媒体机构、军事人员或国防情报顾问工作，该公司说。

Patchwork 还在 Google Play Store 上分发恶意应用程序——Meta 报告并已被谷歌删除——以及创建旨在引诱人们点击恶意链接并下载恶意应用程序的社会工程活动。该公司表示，该组织还通过改变策略来应对 Meta 安全团队的防御活动，表现出极大的毅力。

报告称：“这种对抗性适应可能会增加开销并降低 Patchwork 运营的效率。”

作为网络威胁的身份

Meta 还对其平台上发生的一系列地理上分散的活动做出了反应，这些活动被称为协调不真实行为 (CIB)，定义为“为实现战略目标而操纵公众辩论的协调努力，其中虚假账户是操作的核心，”公司说。

报告称：“在每一种情况下，人们都相互协调并使用虚假账户误导他人关于他们是谁以及他们在做什么。”

该公司删除了数百个 Facebook 账户、各种页面和群组，以及 Instagram 账户——视地区而定——用于起源和运营于以下国家的 CIB 网络：伊朗；委内瑞拉和美国；多哥和布基纳法索；乔治亚州; 报告称，中国和中国两个独立的网络遭到破坏。

Meta 的 Nimmo 说，虽然每个组织的策略各不相同，但他们的活动存在趋势，几乎所有网络都投资于在互联网上创建虚假账户和虚构实体，包括新闻媒体组织、黑客组织和非政府组织。

此外，该公司表示，Facebook 删除的大部分网络可能是合法的商业实体，包括中国的 IT 公司、美国的营销公司和非洲的政治营销咨询公司。

Meta 在其报告中包含了广泛的妥协指标，以帮助组织识别源自其网络中这些活动的恶意活动。该公司表示，它还将继续与同行和安全研究人员分享威胁研究，以帮助公司打击旨在危害其网络和业务活动的恶意活动。