Les analystes du renseignement sur les menaces et les experts en sécurité de Facebook travaillent pour trouver et arrêter un large éventail de menaces, notamment campagnes de cyberespionnage, opérations d’influence et le piratage de notre plateforme par des acteurs des États-nations et d’autres groupes. Dans le cadre de ces efforts, nos équipes perturbent régulièrement les opérations des adversaires en les désactivant, en informant les utilisateurs s’ils doivent prendre des mesures pour protéger leurs comptes, en partageant publiquement nos conclusions et en continuant à améliorer la sécurité de nos produits.

Aujourd’hui, nous partageons les mesures que nous avons prises contre un groupe de pirates informatiques en Chine connu dans le secteur de la sécurité sous le nom Terre Empusa ou Mauvais œil – pour interrompre leur capacité à utiliser leur infrastructure pour abuser de notre plate-forme, distribuer des logiciels malveillants et pirater les comptes d’utilisateurs sur Internet. Ils ciblaient principalement les militants, les journalistes et les dissidents parmi les Ouïghours du Xinjiang en Chine vivant principalement à l’étranger en Turquie, au Kazakhstan, aux États-Unis, en Syrie, en Australie, au Canada et dans d’autres pays. Ce groupe a utilisé diverses tactiques de cyberespionnage pour identifier ses cibles et infecter leurs appareils avec des logiciels malveillants afin de permettre la surveillance.

Cette activité avait les caractéristiques d’une opération dotée de ressources suffisantes et persistante, tout en dissimulant qui est derrière elle. Sur notre plateforme, cette campagne de cyberespionnage s’est manifestée principalement par l’envoi de liens vers des sites Web malveillants plutôt que par le partage direct du malware lui-même. Nous avons vu cette activité ralentir à plusieurs reprises, probablement en réponse à nos actions et à celles d’autres entreprises visant à perturber leur activité.

Nous avons identifié les tactiques, techniques et procédures (TTP) suivantes utilisées par cet acteur de la menace sur Internet:

• Ciblage sélectif et protection contre les exploits: Ce groupe a pris des mesures pour dissimuler leur activité et protéger les outils malveillants en infectant uniquement les personnes avec des logiciels malveillants iOS lorsqu’ils ont réussi certains contrôles techniques, notamment l’adresse IP, le système d’exploitation, le navigateur et les paramètres de pays et de langue.
• Compromettre et usurper l’identité de sites Web d’actualités: Ce groupe…