Facebook seit 2014 für Verbreitung von Remote-Access-Trojanern missbraucht

Forschern von Check Point zufolge wurde Facebook über einen Zeitraum von mehreren Jahren zur Verteilung von Remote-Access-Trojanern (RAT) benutzt. Unbemerkt von Facebook war die groß angelegte Kampagne mindestens seit 2014 aktiv. Die Täter sollen vor allem politische Ziele im Zusammenhang mit dem Bürgerkrieg in Libyen verfolgt haben.

Die Zahl der Opfer schätzt Check Point auf mehrere Zehntausend. Die Operation, bei der unter anderem die RATs Houdini, Remcos und SpyNote eingesetzt wurden, kompromittierte nicht nur Systeme in Libyen, sondern auch in Deutschland, Großbritannien, der Türkei, den USA und China.

Zuletzt war eine Facebook-Seite, die dem Anführer der selbst ernannten lybischen Nationalarmee Khalifa Haftar gehören soll, Ausgangspunkt der Kampagne. Sie wurde im April 2019 eingerichtet und zog seitdem mehr als 11.000 Follower an. Andere Seiten mit „Lybia My People“ hatten sogar mehr als 110.000 Abonnenten.

Über diese Seiten wurden politische Inhalte verbreitet. Einige Posts enthielten zudem Links, um Dateien herunterzuladen, die beispielsweise als durchgesickerte Geheimdienstunterlagen beworben wurden. Sie sollten belegen, dass Drittstaaten eigene Interessen in Libyen verfolgen. Einige URLs führten auch zu mobilen Anwendungen, beispielsweise für Bürger, die sich der lybischen Nationalarmee anschließen wollten.

Stattdessen führten die Links jedoch zu schädlichen Windows-Skripten oder speziell gestalteten APK-Installationsdateien für Android. Die eigentlichen Remote-Access-Trojaner wurden über Cloudspeicher wie Google Drive, Dropbox und Box gehostet.

Aufgrund bestimmter Rechtschreibfehler in den Posts geht Check Point davon aus, dass die Hintermänner Arabisch sprechen. Die Fehler – zum Teile fehlen einzelne Buchstaben – wurden den Forschern zufolge nicht von Online-Übersetzungsdiensten generiert. Die offenbar recht einmaligen Rechtschreibfehler halfen den Forschern zudem, weitere gefälschte Facebook-Seiten aufzudecken, die ebenfalls für die Kampagne benutzt wurden. In einigen Fällen sollen die Angreifer diese Seiten jedoch nicht selbst angelegt haben, sondern später die Kontrolle über sie übernommen haben.

Über die Infrastruktur der Kampagne identifizierte Check Point zudem einen Nutzer namens Dexter Ly als wahrscheinlichen Hintermann. Er soll sich früher bereits an Cyberangriffen auf die lybische Regierung beteiligt haben, unter anderem in Zusammenarbeit mit dem Hackerkollektiv Anonymous.

Facebook hat die fraglichen Seiten inzwischen gelöscht. Ein Sprecher des Unternehmens begründete dies mit Verstößen gegen die Richtlinien. Facebook investiere zudem in Technologien zur Erkennung schädlicher Aktivitäten. Trotzdem sollten Nutzer nicht auf verdächtige Links klicken oder gar nicht vertrauenswürdige Software herunterladen.