Facebook Melawan Peretas ‘Mata Jahat’ yang Menargetkan Uyghur


Mengingat Facebook itu dilarang di China, perusahaan tersebut mungkin tampak seperti sumber informasi yang tidak terduga tentang kampanye peretasan China terhadap etnis minoritas Uyghur di negara itu. Namun, pada hari Rabu, perusahaan mengumumkan bahwa mereka telah mengidentifikasi kampanye spionase baru-baru ini yang menargetkan komunitas Uighur, terutama orang-orang yang tinggal di luar negeri di negara-negara seperti Australia, Kanada, Kazakhstan, Suriah, Amerika Serikat, dan Turki. Facebook mengatakan aktivitas itu berasal dari grup peretas China yang terkenal, Evil Eye, yang memiliki rekam jejak menargetkan Uyghur.

Pada pertengahan 2020, Facebook menemukan remah-remah bukti tentang serangan di layanannya sendiri: akun yang berpura-pura menjadi mahasiswa, aktivis, jurnalis, dan anggota komunitas Uighur global yang berusaha menghubungi calon korban dan berbagi tautan jahat dengan mereka. Peneliti Facebook mengikuti remah-remah ini di luar ekosistem perusahaan sendiri hingga upaya Evil Eye yang lebih luas untuk menyebarkan malware dan melacak aktivitas Uyghur.

“Kami melihat ini sebagai kampanye yang sangat bertarget,” kata Mike Dvilyanski, yang mengepalai investigasi spionase dunia maya Facebook. “Mereka menargetkan komunitas minoritas tertentu dan mereka melakukan pemeriksaan untuk memastikan bahwa target aktivitas tersebut sesuai dengan kriteria tertentu, seperti geolokasi, bahasa yang mereka gunakan, atau sistem operasi yang mereka gunakan.”

Evil Eye, juga dikenal sebagai Earth Empusa dan PoisonCarp, terkenal karena serangan digitalnya yang tak henti-hentinya terhadap orang Uyghur. Gelombang aktivitas terbarunya dimulai pada 2019 dan meningkat pada awal 2020, bahkan ketika China jatuh ke dalam penguncian terkait Covid-19.

Facebook menemukan banyak pendekatan yang diambil Evil Eye untuk mencapai target. Kelompok itu membuat situs web palsu yang tampak seperti outlet berita Uighur dan Turki populer dan mendistribusikan malware melalui mereka. Itu juga membobol beberapa situs web sah yang dipercaya oleh Uyghur yang tinggal di luar negeri dan menggunakan situs populer ini untuk menyebarkan malware. Peretas China telah menggunakan teknik yang dikenal sebagai “serangan lubang air”, sebelumnya dalam upaya massal mereka untuk mengawasi orang Uyghur. Beberapa situs web tercemar penyerang menggunakan eksploitasi JavaScript yang ditemukan sebelumnya untuk menginstal malware iOS yang dikenal sebagai Insomnia pada perangkat target.

Para peneliti juga menemukan toko aplikasi Android penipu yang diatur agar terlihat seperti sumber populer aplikasi terkait Uyghur, seperti keyboard, kamus, dan aplikasi doa yang berfokus pada komunitas. Sungguh, toko aplikasi berbahaya ini mendistribusikan spyware dari dua jenis malware Android yang dikenal sebagai ActionSpy dan PluginPhantom, yang terakhir telah beredar dalam berbagai bentuk selama bertahun-tahun.

Analisis Facebook membawa perusahaan jauh dari platformnya sendiri. Tim investigasi spionase sibernya bahkan melacak malware Android yang digunakan dalam kampanye Evil Eye ke dua perusahaan pengembang: Beijing Best United Technology Co., Ltd. dan Dalian 9Rush Technology Co., Ltd. Facebook mengatakan bahwa penelitian dari ancaman tersebut firma intelijen FireEye berkontribusi pada penemuan koneksi ini. WIRED tidak dapat segera menghubungi kedua firma tersebut untuk memberikan komentar. Facebook tidak secara resmi menarik hubungan antara Evil Eye dan pemerintah China ketika mengumumkan temuannya pada hari Rabu.

“Dalam hal ini kami dapat melihat tautan yang jelas ke [malware development] perusahaan, kami dapat melihat atribusi geografis berdasarkan aktivitas, tetapi kami tidak dapat benar-benar membuktikan siapa di balik operasi tersebut, ”kata Nathaniel Gleicher, kepala kebijakan keamanan Facebook. “Jadi yang ingin kami lakukan adalah memberikan bukti yang bisa kami buktikan. Dan kemudian kami tahu bahwa ada komunitas yang lebih luas yang dapat menganalisisnya dan mengambil kesimpulan terbaik berdasarkan pola dan taktik. “

Ben Read, direktur analisis di Mandiant Threat Intelligence FireEye, mengatakan dalam sebuah pernyataan pada hari Rabu bahwa, “Kami yakin operasi ini dilakukan untuk mendukung pemerintah RRT, yang sering menargetkan minoritas Uyghur melalui aktivitas spionase dunia maya.” Dia menambahkan bahwa peretas yang sama juga diketahui menargetkan kelompok lain yang dianggap pemerintah China sebagai ancaman bagi rezimnya, seperti warga Tibet dan aktivis demokrasi di Hong Kong.

Diposting oleh : SGP Prize