勒索軟體Babuk入侵美國首都華盛頓特區警察局,駭客揚言不付贖金即聯繫當地黑幫曝露警方線人

在Babuk勒索軟體背後的駭客在其暗網洩露了盜來數據的螢幕截圖之後,美國華盛頓哥倫比亞特區大都會警察局(Metropolitan Police Department of the District of Columbia)已承認他們遭受了網路攻擊,駭客威脅除非DC警察局同意支付勒索贖金,否則將洩露敏感的警察檔案,這些檔案可暴露警方的調查和線人。

哥倫比亞特區大都會警察局是華盛頓特區的執法機構,它是美國十大警察部隊之一,僱有大約4,000名警察和600名輔助人員。

華盛頓特區警察局的公共發言人Sean Hickman在對外媒的聲明中,表示DC警察知道伺服器受到入侵,FBI正在調查此事。

“我們知道我們伺服器上的未經授權的存取。在確定全部影響並繼續審查活動的同時,我們正與FBI進行了全面調查。” -大都會警察局。

螢幕截圖顯示Babuk勒索軟體的駭客已獲得存取調查報告,軍官紀律檔案,在地黑幫檔案,嫌犯大頭照和管理檔案的權限。

Babuk data leak page for the Metropolitan Police Department
Photo credit: The record

使用Babuk勒索軟體的駭客稱它從DC警察局伺服器下載了250 GB以上的數據。

駭客組織現在給DC警察官員三天時間來回應他們的贖金要求。否則,他們將與當地黑幫聯繫並暴露警方線人。

Babuk勒索軟體的駭客是當今最新的勒索軟體組織之一,該組織於2021年1月開始運營,已經入侵了一些大型公司,例如西班牙電話零售連鎖店 Phone HouseNBA的 Houston Rockets

該組織最獨特的功能之一是其勒索軟體payload能夠加密存儲在VMWare eSXI共享虛擬hard drives上的檔案。它是可以做到這一點的僅有的三個勒索軟體品種之一(另外兩個為勒索軟體Darkside和RansomExx)。

但是安全公司 Emsisoft警告說 ,此功能經常有問題,並可能導致永久破壞受害者檔案。

有關Babuk的情資,請參考如下:

https://otx.alienvault.com/pulse/60212e7202feb173ebc48a26

https://otx.alienvault.com/pulse/6006d3a92b7c02cbe3f952e4

https://otx.alienvault.com/pulse/5ff78f0d8ae18856ebda8c28

*****竣盟科技快報歡迎轉載,但請註明出處

DarkSide勒索軟體的背後駭客擴展其敲詐技倆–賣空受害者的股價

DarkSide勒索軟體的背後駭客正在擴展其勒索策略,針對在美國那斯達克(NASDAQ)或其他股票市場上市的公司。

DarkSide的駭客其暗網站上發布的公告說,它願意提前通知不當的市場交易者,以便他們可以賣空公司的股票價格,然後才在其暗網公佈受害者資料。

圖片的內容: 現在我們的團隊和合作夥伴對許多在那斯達克和其他證券交易所進行交易的公司進行加密。如果公司拒絕付款。我們準備在公佈之前提供資料,這樣就可賺取股票下跌的部分,寫信給我們與我們聯繫,我們將為您提供詳細資訊。

Credit to: The Record

DarkSide認為,讓一家上市交易公司的名字在其網站上的負面影響將足以導致其股價下跌,並使狡猾的交易者獲利。

根據Recorded Future的資安分析師Dmitry Smilyanets說,儘管其他勒索軟體組織曾討論過如何利用公開披露攻擊對股市造成影響,但這從未成為他們官方攻擊媒介,DarkSide正式成為第一個利用攻擊打擊受害公司股價的勒索軟體。

DarkSide的公告同時也是以一種間接手段來威脅被入侵的公司,即不支付贖金可導致負面新聞報導,其影響力足以影響其股市市場,並足以迫使一些受害者支付所要求的贖金。

這種方法毫無疑問只是勒索軟體組織不斷增加的勒索工具庫中的最新敲詐手法之一。資安分析師說,我們的研究證明,支付贖金的人越來越少,這意味著勒索軟體參與者必須找到新的方法來勒索受害者的錢,去年,我們看到了DDoS攻擊的威脅,但這些威脅似乎並沒有真正發揮作用,因此他們不斷尋找其他方法。

一般勒索軟體組織敲詐手法:

*受到DDoS的攻擊

*打電話給要從備份中恢復數據的受害者

*試圖對負責批准贖金支付的高管提出人身威脅

*威脅要通知受害公司業務合作夥伴

*威脅受害公司,他們會將安全漏洞通知記者

*威脅將有關違規行為通知隱私監管機構,以便該公司可被罰款

*甚至發送電子郵件給受害者的客戶,要求客戶向公司施加壓力,要求其支付贖金,並避免客戶的數據在線上洩漏

有關DarkSide的情資:

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

https://otx.alienvault.com/pulse/603d19ff5e6680fa73bbf7b3

外媒爆廣達電腦遭REvil入侵,被勒索5千萬美元,REvil同時以竊取的資料來勒索Apple電腦

REvil在暗網上架設的Happy Blog網站上有關廣達電腦的頁面

根據國外媒體報導,就在今天4月21,發現REvil背後的駭客在暗網稱成功入侵廣達並取得大量機密資料,由於廣達拒絕付款以取回其被盜的數據,因此,REvil決定公布其主要客戶(Apple)的資料,施壓廣達同時並轉向勒索Apple。REvil公布了Apple的機密設計圖,並稱若 5 月 1 日不付贖金,這批包括 Mac 產品等資料,之後就會出售給其他品牌商並公布內容。REvil同時透露還有Apple Watch、Macbook Pro以及ThinkPad Z60m等設計圖。REvil最先公布的是已經發佈的Macbook Air M1設計圖,同時表示,若持續不付款,將每天公佈不同的設計圖讓各界檢視。

Apple產品設計圖

根據Tor付款頁面,廣達必須在4月27日之前支付5000萬美元,或者在計時結束後支付1億美元。

REvil在過去的一個月裡一直瘋狂地進行攻擊,針對宏碁要求(5000萬美元),針對Pierre Fabre要求(2500萬美元)和針對日月光旗下的Asteelflash要求(2400萬美元)極高的贖金。

有關REvil的情資,請參考如下:

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

美國正式將SolarWinds事件歸咎俄羅斯對外情報局,驅逐10名外交官,制裁六家俄羅斯科技公司,知名資安公司Positive Technologies也上榜

4月15日-在白宮週四一份聲明中稱,俄羅斯對外情報局(Sluzhba Vneshney Razvedki,SVR)要為SolarWinds事件負責。該事件導致九家聯邦機構和數百家私營企業數據外洩。白宮的新聞稿證實了過去的媒體報導,俄羅斯對外情報局SVR是SolarWinds事件的幕後黑手,正式指責SVR通過其部門的特工駭客(通常稱為APT29,The Dukes或Cozy Bear) 開展廣泛的網路間諜活動。

通過破壞SolarWinds供應鏈,SVR存取全球超過16,000台電腦,能監視或潛在破壞那些電腦,多個美國政府機構是這場廣泛的網路間諜活動的受害者,國務院,司法部,能源部,網路安全和基礎設施局以及財政部是披露被入侵的最大機構。資安公司如FireEye,Malwarebytes,Microsoft,Mimecast等也是針對特定目標。白宮的摘要指出:“美國情報界對SVR的歸因評估充滿高度信心。” 根據美國政府的說法,這種入侵的範圍涉及國家安全和公共安全。而且給大多數私營機構的受害者帶來了不適當的負擔,俄羅斯須承擔這一事件的異常高昂的代價。

目前許多政府已經出來支持美國對SolarWinds的歸因評估。英國也同時發布了歸因評估目前,14個國家政府在其官方網站上發布了支持性推文,另有7個發布了支持性書面聲明和推文。

此外,國家安全局(NSA),網路安全和基礎設施安全局(CISA)和聯邦調查局(FBI)共同發布了一份諮詢報告,警告企業SVR積極利用五個已知的漏洞進行初步攻擊立足於受害設備和網路:

CVE-2018-13379 -Fortinet FortiGate VPN

CVE-2019-9670 – Synacor Zimbra Collaboration Suite

CVE-2019-11510 – Pulse Secure Pulse Connect Secure VPN

CVE-2019-19781 – Citrix Application Delivery Controller and Gateway

CVE-2020-4006 – VMware Workspace ONE Access

企業應注意該警告,並採取必要的步驟來識別和防禦SVR進行的惡意活動。

根據拜登總統今天發布的行政命令,美國財政部對以下俄羅斯科技公司已實施制裁,六家科技公司被指控幫助SVR,俄羅斯聯邦安全局(FSB)和俄羅斯主要情報局(GRU)對美國進行惡意網路活動。

被制裁的六家科技公司或機構包括:

ERA Technopolis  –由俄羅斯國防部資助和運營的研究中心和技術園區。ERA Technopolis擁有並支持俄羅斯主要情報局(GRU),負責進攻性網路和資訊作戰,並利用俄羅斯技術部門的人員和專業知識來開發軍事和雙重用途技術。

Pasit  –位於俄羅斯的IT公司,進行研究和開發以支持俄羅斯對外情報局服務(SVR)的惡意網路操作。

SVA  –俄羅斯國有研究機構,專門研究位於俄羅斯的先進資訊安全系統,進行研究和開發,以支持SVR的惡意網路操作。

Neobit  –位於俄羅斯聖彼得堡的IT安全公司,其客戶包括俄羅斯國防部,SVR和俄羅斯聯邦安全局(FSB)。Neobit進行研究和開發,以支持由FSB,GRU和SVR進行的網路運營。Neobit還根據與網路相關的EO 13694(經EO 13757,與WMD相關的EO 13382和由《打擊制裁的美國對手》(CAATSA)修訂)的指定,為GRU提供物質支援。

AST  –俄羅斯IT安全公司,其客戶包括俄羅斯國防部,SVR和FSB。AST為FSB,GRU和SVR進行的網路運營提供了技術支持。AST還根據EO 13694,EO 13382和CAATSA被指定為FSB提供支援。

Positive Technologies  –一家俄羅斯資安全公司,為包括FSB在內的俄羅斯政府客戶提供支援。Positive Technologies為俄羅斯企業,外國政府和國際公司提供電腦網路安全解決方案,並舉辦大型會議,這些會議被用作FSB和GRU的招募活動。Positive Technologies還根據EO 13694,EO 13382和CAATSA被指定為FSB提供支援。

值得注意的是,美國財政部的制裁名單還包括俄羅斯資安公司Positive Technologies,該公司以其在網路安全漏洞研究方面的工作而聞名全球。

美國公司和金融機構不再能夠與上述的公司或機構開展業務,除非獲得美國的外國資產管制處(Office of Foreign Assets Control,OFAC)申請的許可。

SolarWinds供應鏈攻擊的有關情資:

https://otx.alienvault.com/pulse/60413cd1bb43dcf1d22c274b

https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8

https://otx.alienvault.com/pulse/5fe0d2b1258adac64a4f9adc

https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812

https://otx.alienvault.com/pulse/5ffc7929fdeee95e277473b7

https://otx.alienvault.com/pulse/5ffccc003adfeeafe1d401a8

https://otx.alienvault.com/pulse/5fdce61ef056eff2ce0a90de

美國聯邦調查局(FBI)從被駭客入侵的Microsoft Exchange伺服器移除Web Shell,該FBI行動是在未事先通知伺服器擁有者的情況下進行的。

美國司法部周二宣布一項法院授權聯邦調查局(FBI)的行動,從美國數百台Microsoft Exchange電子郵件伺服器中“複製並刪除”後門,以清除先前入侵該系統的駭客留下的Web Shell,同時也宣布了該項行動成功。

在美國司法部發布新聞稿中,FBI獲得搜查令可存取仍然受到威脅的Exchange伺服器,複製Web Shell作為證據,然後從伺服器中刪除Web Shell,同時因受害者不願或無法迅速修補其系統,執法部門在面對大規模駭客行動時能會採取一些更積極的步驟。該行動是回應在3月時駭客利用Microsoft Exchange 伺服器中的漏洞入侵還竊取受害者的電子郵件。由於其中一些Web Shell沒有得到妥善保護,使中國駭客可重複使用相同的密碼來存取被入侵的Exchange伺服器的權限, 聲明寫道,在這種情況下,聯邦調查局“刪除了一個較早時候駭客組織剩餘的Web Shell,這些Web Shell可以用來維持和升級對美國網路未經授權存取的持久性。”

為了清理已識別的Microsoft Exchange伺服器,FBI使用駭客也使用的已知密碼存取了Web Shell,將Web Shell複製為證據,然後執行命令從受感染的伺服器上移除Web Shell。

FBI說:“ FBI人員存取Web Shell,輸入密碼,製作Web Shell證據的副本,然後通過Web Shell向伺服器發出命令以刪除Web Shell本身。” 。

從受感染的Exchange Server中刪除Web Shell的命令

FBI 補充說,Web Shell是駭客打開的界面,以便他們可以在以後與易受攻擊的系統進行通信,聯邦調查局通過Web Shell向伺服器發出命令進行了刪除,該命令旨在使伺服器僅刪除Web Shell,但是FBI指出,行動並未修補基礎系統本身,也未刪除可能已安裝在伺服器上的任何其他惡意軟體。

相關法院記錄的一部分
法院對搜查令的批准

FBI現在將通知他們在該行動中存取的Exchange伺服器的擁有者,將通過官方FBI.gov電子郵件帳戶發送電子郵件發通知,或使用服務提供商(ISP)與擁有者聯繫。

關於Exchange伺服器的情資:

https://otx.alienvault.com/pulse/603eb1abdd4812819c64e197

*****竣盟科技快報歡迎轉載,但請註明出處

美國商務部將七個中國超級電腦實體列入美國出口管制的黑名單

美國以違反美國國家安全或外交政策利益的活動為由,將七家中國超級電腦公司和機構列入美國出口管制的實體清單(黑名單)。

根據商務部新聞稿,七個實體包括:

天津飛騰信息技術有限公司

上海集成電路技術與產業促進中心

信維微電子

國家超級計算濟南中心

國家超級計算深圳中心

國家超級計算無錫中心

國家超級計算鄭州中心

商務部在周四的一份新聞聲明中表示,這些實體參與的活動與美國的國家安全或外交政策利益背道而馳而被列入出口管制的實體清單,禁止美國企業在未先獲得美國政府許可的情況下與其開展業務往來。這些實體被指參與了中國軍方使用的超級電腦的製造、參與軍事現代化、或研發大規模殺傷性武器計劃(weapons of mass destruction programs)。

The Washington Post報導指出,在中國西南部的隱密軍事設施,中國正使用天津飛騰信息技術公司設計的超級電腦,模擬極音速導彈穿越大氣層的高熱與阻力,中國可能使用這種導彈對付美國船艦或台灣。據指中國飛騰的超級電腦是利用美國軟體設計出的晶片驅動,並在台灣的台積電以美國的機密機械製造完成。飛騰自稱是民間企業,立志成為像Intel一樣的全球晶片巨頭,該企業隱瞞了與解放軍研究部門的關聯。

另外,2021年3月,喬治城大學(Georgetown University)的學者發表了一份報告,揭示了幾所已知與中國政府資助的駭客組織合作的中國大學目前正在對網路安全,人工智能和機器學習的交集進行廣泛的研究。

商務部對七個實體出口管制的補充:

https://public-inspection.federalregister.gov/2021-07400.pdf

REvil又來了,印度最大鋼鐵生產商塔塔鋼鐵,遭REvil勒索軟體入侵,藍圖被公開

Key Points:

*塔塔鋼鐵(Tata Steel) 沒有與駭客談判,也沒有支付贖金

*由於沒有談判,駭客已公開了塔塔鋼鐵生產線機器的Autocad技術圖紙

*據稱加密發生在2021年3月25日,所以已經有十多天了

塔塔鋼鐵在REvil的Happy Blog中的頁面

REvil勒索軟體的背後駭客與塔塔鋼鐵的線上聊天,塔塔沒有任何回應

根據LeMagIT,最初的贖金需求為400萬美元,後來又增加了一倍,變成相當於800萬美元的門羅幣,在贖金的網頁上已經沒有其他可加倍的金額,據相信下一階段駭客將發布樣本的檔案,並將其餘竊取到的檔案出售給其他駭客或感興趣的買家。

REvil勒索軟體最近特別活躍, 繼先前3月20日宏碁集團中REvil勒索軟體遭勒索5000萬美元後,在4月5日,日月光代子公司環旭電子公告,其控股子公司Asteelflash Group有部分伺服器也感染REvil勒索軟體。

在過去的幾年中,REvil(又名Sodinokibi)一直是最泛濫的勒索軟體即服務(RaaS)之一,藉由招募合作夥伴,以提供勒索軟體為手法,於獲得贖金後再拆帳的模式經營。REvil曾利用Pulse Secure VPN漏洞,入侵倫敦外匯交易公司Travelex的網路而聞名。

在3月29日The DFIR Report的資安研究員觀察到REvil入侵始於惡意垃圾郵件,該惡意垃圾郵件將含有IcedID(Bokbot)丟到受害環境中,以允許隨後存取分發REvil勒索軟體。在入侵過程中,威脅參與者將權限提升為Domain Administrator,竊取數據,並使用REvil加密所有的系統。根據該研究報告:

*REvil的攻擊勒索時間Time to Ransom(TR): 4小時

*入侵初期Initial Access使用: IcedID

*Discover使用: nltest, net, wmic, AdFind, BloodHound, etc.

*權限提升使用: UAC-TokenMagic & Invoke-SluiBypass

*逃避偵測使用: Safe Mode & new GPO

*滲透使用: Rclone

*C2使用: CobaltStrike

攻擊時程如下:

Credit to The DFIR Report

更多有關報告的資訊,請參見: https://thedfirreport.com/2021/03/29/sodinokibi-aka-revil-ransomware/

有關REvil的情資,請參考如下:

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

日月光旗下環旭電子的法國子公司Asteelflash也中了 REvil 勒索軟體

Key Points:

*日月光旗下子公司環旭電子持股100%的控股公司 Asteelflash Group  於 4月2日 公佈在IT團隊的例行檢查中發現部分伺服器感染REvil勒索軟體。

*根據TechNadu 的報導切入點疑是Microsoft RPC遠端程式呼叫服務

*根據BleepingComputer的報導, 勒索金高達2400萬美元

*此次之前,Acer也被REvil勒索軟體攻擊並被勒索5000萬美元的贖金

REvil對Asteelflash集團的勒索贖金約2400萬美元 (Photo credit:BleepingComputer)

根據BleepingComputer的報導,REvil最初索要1200萬美元的贖金,但隨著時間過去,贖金加倍,達到2400萬美元。BleepingComputer取得了REvil與Asteelflash在Tor付款頁面上的談判對話,REvil為了證明攻擊成功,分亨了一份名為asteelflash_data_part1.7z的檔案。至此兩方之間的對話陷入僵局,沒有更多有關對贖金部分的資訊。

另外,根據TechNews,環旭電子對此一資安事件也發布聲明,指出 Asteelflash發現伺服器被感染後,及時啟動應急回應措施,避免進一步傳播擴散。雖有部分生產據點的產能受到影響,但經過 IT 人員和外部安全顧問的努力,目前 Asteelflash集團的訊息系統已恢復正常,而受影響的生產據點已全部恢復正常運營。

Revil 也稱為Sodinokibi,於2019年4月問世,成為當今世界上危害最大的和最多產和的勒索軟體之一, 根據日本資安研究員辻伸弘的統計 ,由2019年12月直至2021年3月REvil共加密了193受害公司。

另外,值得關注的是,REvil勒索軟體已演變能通過網路將目標電腦重啟動到安全模式 (Safe mode) 來運作以逃避/disable EDR,附上Malware Hunter team研究人員發現 REvil 的最新sample如下 :

Argument: -smode

有關REvil的情資,請參考如下:

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

Google揭露北韓駭客再次瞄準攻擊安全研究人員

Google的威脅分析團隊(Threat Analysis Group,TAG)表示,北韓國家級駭客再次使用假Twitter和LinkedIn社交媒體帳戶將安全研究人員作為攻擊目標,他們會使用瀏覽器的漏洞在研究人員的電腦植入惡意軟體。

TAG團隊於3月17觀察到駭客還為一家名為SecuriElite(位於土耳其)的假公司建立了一個網站,並據稱提供了攻擊性安全服務如滲透測試,軟體安全評估和漏洞利用等。

由於北韓國家級駭客使用了他們在第一次攻擊中也使用的公共PGP密鑰,因此Google能夠將先前的攻擊活動與SecuriElite公司聯繫起來,就像在2021年1月期間檢測到的攻擊一樣,SecuriElite網站還託管了攻擊者的PGP公鑰,作為誘餌,在打開頁面後觸發瀏覽器漏洞後,以使安全研究人員感染惡意軟體。

Google表示,即使在發現之時SecuriElite網站的內容並不是惡意,但它仍將其URL(securielite [.] com)添加到安全瀏覽API中,以防止用戶輕易訪問該網站,甚至是意外訪問。

此外, TAG團隊還表示,他們向Twitter和LinkedIn舉報了攻擊者的社交媒體帳戶,Twitter和LinkedIn也已暫停了他們的帳戶。

SecuriElite的推文

儘管我們可能永遠不確定這些攻擊背後的原因和動機,但是有兩種理論解釋了為什麼北韓政府支持的駭客會在這種活動中投入如此多的精力。

第一個理論是,北韓駭客可能試圖在安全研究人員管理的系統上立足,以便在漏洞被公開和修補之前獲得零時差的研究機會。

第二種理論是,攻擊者可能希望在安全公司的網路上站穩腳跟,從那裡他們可以收集有關受害者的客戶及其網路中的弱點的數據。

Facebook爆中國國家級駭客利用其平台監控海外維吾爾族人,Facebook封殺Evil Eye設的約百個帳號!!!

Facebook表示,中國駭客利用偽造賬戶和建立仿冒網站來鎖定維吾爾族人的手機,以便進行監控

Key Points:

*中國國家級駭客Evil Eye(邪惡之眼)利用臉書,鎖定中國境外,包含美國、澳洲、土耳其、敘利亞、 加拿大、土耳其、哈薩克等國家的維吾爾族等少數民族之維權人士、記者或異議人士,透過發送指向惡意軟體的連結,用惡意軟體感染設備並實現監控。

* Facebook指Android惡意軟體由兩間中國公司,北京畢思特聯合科技有限公司(Beijing Best United Technology)和大連9Rush科技有限公司(9Rush) 所開發,偽裝成維吾爾語鍵盤和祈禱應用程式,實則上存有ActionSpy或PluginPhantom等木馬惡意程式,有些惡意網站則直接嵌入了iOS間諜程式Insomnia。

*利用社交工程:Evil Eye使用Facebook上的假帳戶創建虛構的角色,冒充人權倡導者,記者,維吾爾族成員或學生,以建立與目標人群的信任,並誘使他們點擊惡意連結。

Facebook在3月24日宣布,已對利用假賬戶監視維吾爾族穆斯林的中國駭客組織Evil Eye採取了行動,阻止了Evil Eye濫用其平台和架構,發佈惡意程式和入侵其他用戶。

Facebook 表示Evil Eye的手法十分高明,他們會檢查目標對象的iOS,是否使用指定的語言、國家、系統版本、瀏覽器、IP位址等,駭客只會對符合相關條件的用戶下手,避免了大規模攻擊而太早被發現。駭客亦會製作一些假網站,偽裝像真的維吾爾族或土耳其的新聞網站,當目標不小心瀏覽時,就會在其iOS裝置上安裝一些監控程式。而且中國駭客們為了監控維吾爾族人士亦相當用心,會製作一些假帳戶,而這些假帳戶會慢慢向目標建立信任,最終被選中的目標因為以為這些假帳戶是真朋友,而不小心按入有關網站,令自己的手機或電腦被監控。Facebook亦發現有不少由了製作的Android apps,以維吾爾族的主題做包裝,例如維吾爾語鍵盤和祈禱應用程式,這些apps都藏有惡意程式。Facebook續指有兩間中國公司涉及在內,由他們開發相關惡意程式。

路透社報導,Facebook表示與駭客組織相關的目標少於500個,帳戶約於100個。

相關情資:

https://otx.alienvault.com/pulse/605caf0881cf2953063d2fab

回顧之前有關Evil Eye的報導: 

https://www.facebook.com/BillowsTechTW/posts/526372064693028