Dans un billet de blog publié le 24 mars, Mike Dvilyanski, chargé de la lutte contre le cyberespionnage chez Facebook, a pris la parole pour détailler une vaste campagne menée par des hackers chinois sur le réseau social. Deux groupes de hackers ont été identifiés : ils sont connus sous les noms de Earth Empusa et Evil Eye. Ils ciblaient des activistes, journalistes et dissidents ouïghours vivant à l'étranger. Les pirates ont tenté d'infecter leurs smartphones avec un logiciel malveillant pour les surveiller.

Les ouïghours internationaux dans le viseur du gouvernement chinois

Selon Facebook, la plupart des victimes étaient des dissidents ouïghours vivant à l'étranger. En Turquie, au Kazakhstan, aux États-Unis, en Syrie, en Australie, au Canada et dans d'autres pays. Mike Dvilyanski précise que cette opération de cyberespionnage avait : "les caractéristiques d'une opération financée par un gouvernement chinois, mais impossible de le prouver". Pas si étonnant quand on sait que la Chine traque les ouïghours depuis 2013...

Les hackers ont tenté de rediriger leurs victimes avec l'envoi de liens vers des sites web malveillants. Ils n'ont pas partagé directement le logiciel malveillant sur la plateforme. Comme le précise Mike Dvilyanski : "le groupe a mis en place des sites web malveillants qui utilisaient des domaines s'apparentant à des sites d'actualité populaires ouïghours et turcs".

Vraisemblablement, les hackers ont aussi compromis des sites web existants, fréquemment visités par leurs cibles. Une attaque de type "watering hole" qui consiste à placer du code malveillant dans des sites existants. Le fameux logiciel espion était connu sous le nom d'Insomnia.

Les hackers ont créé de faux comptes sur Facebook

Sur Facebook, les hackers ont créé de faux comptes pour tenter de se faire passer pour des journalistes, des étudiants, des défenseurs des droits de l'homme ou des membres de la communauté ouïghoure afin d'instaurer une relation de confiance avec les personnes visées. Ensuite, les hackers incitaient leurs victimes à cliquer sur des liens qui pointaient vers les sites malveillants. Nathaniel Gleicher, directeur de la cybersécurité chez Facebook, s'est également exprimé sur le sujet :

Au cours de son enquête, Facebook a pu constater que Beijing Best United Technology et Dalian 9Rush Technology, deux sociétés chinoises, étaient à l'origine du développements des outils utilisés par les hackers. Dès l'identification de la menace, Facebook a partagé ses craintes avec ses homologues afin qu'ils puissent eux aussi détecter et arrêter cette opération. Le géant des réseaux sociaux précise que les personnes visées ont été informées, que le partage des domaines malveillants a été bloqué et que les faux comptes ont été supprimés.