Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies, società israeliana specializzata in sicurezza informatica, si è recentemente imbattuta in una campagna malevola su larga scala che, per anni, ha sfruttato alcune pagine Facebook per diffondere un malware in ambienti mobile e desktop, con un solo obiettivo: la Libia!
Quella che è stata definita Operazione Tripoli ha portato alla rimozione di 30 pagine Facebook e all’infezione di 50mila utenti.
Sembra che la difficile situazione politica in Libia sia utile agli hacker per attirare le vittime e indurle a cliccare sui link e far scaricare loro dei file che dovrebbero contenere informazioni sull’ultimo attacco aereo nel paese, o sulla cattura dei terroristi, ma che invece contengono malware.
L’Operazione Tripoli è iniziata quando Check Point ha notato che una pagina Facebook apparteneva al comandante dell’esercito nazionale libico, Khalifa Haftar. Oltre ad essere “maresciallo di campo”, Haftar è una figura di spicco nell’arena politica libica e ha avuto un ruolo importante come leader militare nella guerra civile in corso nel paese.
Attraverso questa pagina Facebook, Check Point ha individuato questa attività dannosa risalendo fino al responsabile, scoprendo come gli hacker avessero sfruttato per anni la piattaforma di social networking, compromettendo siti web legittimi per ospitare malware e, alla fine, raggiungere decine di migliaia di vittime basati principalmente in Libia, ma anche in Europa, Stati Uniti e Canada.
Sulla base di queste informazioni condivise, Facebook ha bloccato le pagine e gli account (oltre 30) che hanno distribuito gli attacchi dannosi legati a questa operazione.
Da sottolineare come, sebbene l’insieme di strumenti utilizzati dall’hacker non sia né avanzato né impressionante di per sé, l’uso di contenuti su misura, siti web legittimi e pagine altamente attive con molti follower ha reso molto più facile l’infezione potenziale di migliaia di vittime. Per esempio, il materiale sensibile condiviso sul profilo “Dexter Ly” implica che l’hacker è riuscito a infettare anche funzionari di alto profilo.
In conclusione, nonostante l’hacker non appoggi un partito politico o una delle parti in conflitto in Libia, le sue azioni sembrano essere spinte da motivi politici. Questo può essere deducibile dalla partecipazione ad operazioni come OpSyria di alcuni anni fa, così come dalla volontà di rivelare documenti segreti e informazioni personali rubate al governo libico. Questo si oppone al costante bersaglio delle vittime libiche, ma potrebbe significare che l’hacker è alla ricerca di alcuni individui all’interno di una folla più numerosa.