Dans un communiqué publié le 10 décembre, Facebook annonce la mise en place de mesures pour contrer les actions de deux groupes de pirates informatiques : APT32 qui évolue au Vietnam, et un autre groupe basé au Bangladesh. Les deux entités sont soupçonnées d’utiliser leurs infrastructures informatiques afin de diffuser des logiciels malveillants et de pirater des comptes sur Facebook.

Piratage ciblé depuis le Bangladesh

Le groupe basé au Bangladesh a principalement ciblé des militants, des journalistes et des minorités religieuses. Les comptes de ces cibles ont été signalés afin que Facebook les désactive pour avoir enfreint plusieurs règles.

Les équipes de sécurité de Facebook ont alors mené l’enquête. Les dénonciations de comptes proviennent de deux organisations à but non lucratif au Bangladesh. Elles ont cherché à pirater les comptes et les pages de plusieurs utilisateurs, et dans certains cas, à utiliser ces comptes pour amplifier l’audience de leur contenu. Facebook dénonce également l’utilisation de moyens en dehors de la plateforme (malversation sur des emails, abus du processus de récupération de comptes etc.).

Afin d’interrompre cette activité, Facebook a annoncé la suppression des comptes et des pages qui se cachaient derrière cette opération. Le réseau social américain appelle ses utilisateurs à rester vigilants en évitant de cliquer sur des liens qui paraissent suspects et de télécharger des logiciels à partir de sources non fiables.

APT32, une menace déjà connue par Facebook

APT32 est qualifié comme acteur persistant dans le domaine du piratage au Vietnam par Facebook. Selon l’entreprise américaine, APT32 cible des militants des droits humains basés au Vietnam ou dans d’autres localités comme au Laos et au Cambodge. Ces attaques ont été perpétrées envers des organisations gouvernementales ou non gouvernementales, des agences de presse et de nombreuses entreprises. Facebook a annoncé que le groupe était suivi depuis plusieurs années et que des mesures étaient prises pour contrer leurs actions.

Néanmoins, le réseau social créé par Mark Zuckerberg révèle publiquement un élément troublant de leur enquête. L’activité de APT32 serait liée à une société informatique basée au Vietnam : CyberOne. Plusieurs tactiques informatiques sophistiquées ont ainsi été décelées par Facebook :

  • La création de personnes fictives sur Internet en se faisant passer pour des activistes ou des entités commerciales. Objectif : attirer avec ces faux comptes des abonnés pour ensuite utiliser des techniques d’hameçonnage ou des logiciels malveillants.
  • Applications sur le Play Store : APT32 aurait incité leurs cibles à télécharger des applications Android via le Google Play Store. Ces applications, qui disposent d’un large éventail d’autorisations, permettent de surveiller les appareils des utilisateurs.
  • La propagation de logiciels malveillants avec la création d’un malware personnalisé capable de détecter le type de système d’exploitation utilisé par une cible (Windows ou Mac). Une fois le système identifié, APT32 tentait d’exécuter un logiciel malveillant.

Afin d’interrompre toutes ces opérations, Facebook a bloqué plusieurs publications, comptes, et groupes sur sa plateforme. Le réseau social américain a également informé les personnes qui étaient ciblées par APT32.

Depuis les scandales et les défaillance de sécurité qui ont émoussé Facebook ces dernières années, l’entreprise américaine cherche à renforcer la sécurité de ses différents services. Au printemps 2020, Facebook annonçait le changement de poste en interne de plusieurs employés afin de renforcer l’automatisation des détections des menaces de sécurité.