Facebook暂停伊朗黑客针对美国军事人员使用的账户

脸谱网星期四透露，它拆除了一个“复杂”的在线网络间谍活动，由伊朗黑客在美国、英国和欧洲的国防和航空航天部门以200名军事人员和公司为目标，在其平台上使用假在线人物。

这家社交媒体巨头将攻击归咎于一个名为“龟甲”（又名帝国小猫）的威胁行为体，因为对手在过去的活动中使用了类似的技术，而该组织之前被认为专注于沙特阿拉伯的信息技术产业，表明恶意活动明显扩大。

Facebook网络间谍调查负责人迈克·德维利亚恩斯基（Mike Dvilyanski）和威胁破坏主管大卫·阿格拉诺维奇（David Agranovich）说：“这个组织使用各种恶意战术来识别目标，并用恶意软件感染他们的设备，以进行间谍活动。”。“这项活动的特点是资源充足、行动持久，同时依靠相对强大的行动安全措施来隐藏幕后黑手。”

据该公司称，这些攻击是一场规模大得多的跨平台行动的一部分，不良行为者利用Facebook作为社会工程载体，通过恶意链接将受害者重定向到流氓域名。

为了达到这一目的，据说龟甲公司已经部署了复杂的虚拟人物来联系目标，有时还伪装成国防和航空航天公司的招聘人员和雇员，与目标接触数月，以建立信任，而其他一些人则声称在酒店、医药、新闻业、，非政府组织和航空业。

这些欺诈性域名，包括美国劳工部求职门户网站和招聘网站的假版本，旨在针对航空航天和国防行业内可能感兴趣的人，最终目的是实施凭证盗窃，并从属于目标的电子邮件账户中窃取数据。

除了利用不同的协作和消息平台将对话转移到平台之外，并向受害者提供针对特定目标的恶意软件，威胁参与者还分析了他们的系统，以收集设备连接到的网络以及安装在其上的软件的信息，从而部署全功能远程访问特洛伊木马（RAT）、设备和网络侦察工具以及击键记录程序。

此外，Facebook对Tortoiseshall恶意软件基础设施的分析发现，他们的工具集的一部分是由德黑兰的IT公司Mahak Rayan Afraz（MRA）开发的，该公司与伊斯兰革命卫队（IRGC）有联系。

Dvilyanski和Agranovich说：“为了破坏这一行动，我们阻止了恶意域名在我们的平台上共享，删除了该组织的帐户，并通知了我们认为是这一威胁行为人的目标的人。”。Facebook补充称，该黑客组织运营的大约200个账户被删除。