I team di sicurezza di Facebook, Twitter e Google sono impegnati.
Tutte e tre le aziende hanno segnalato questa settimana di aver rimosso elementi malevoli dalle loro piattaforme originate in Iran – Facebook ha rimosso 652 pagine, gruppi e account, Twitter ha rimosso 284 account e Google ha disabilitato un totale di 42 canali YouTube, 16 account Google+, sei Blogger account e tre account Gmail.
Twitter ha rivelato informazioni minime sugli account rimossi, condividendo solo i seguenti tweet dall'handle @TwitterSafety:
Come per le indagini preliminari, ci impegniamo a collaborare con altre società e entità di contrasto pertinenti. Il nostro obiettivo è assistere le indagini su queste attività e, ove possibile, forniremo al pubblico trasparenza e contesto sui nostri sforzi.
– Twitter Safety (@TwitterSafety) 22 agosto 2018
Facebook e Google hanno fornito più informazioni sull'attività malevola che hanno scoperto sulle loro piattaforme, con Facebook che offre esempi di post che erano stati distribuiti dai cattivi attori, insieme a una panoramica del suo responsabile della sicurezza che spiega come l'azienda risponde alle minacce informatiche.
Cosa ha trovato Google
Lavorando con le società esterne di sicurezza informatica Jigsaw e FireEye, l'SVP di Google per gli affari globali, Kent Walker, ha riferito che l'azienda ha disattivato tre account e-mail, tre canali YouTube e tre account Google collegati a attori statali al di fuori degli Stati Uniti che stavano prendendo di mira campagne politiche, giornalisti , attivisti e accademici.
Google ha anche nominato la Repubblica islamica dell'Iran Broadcasting (IRIB) come il gruppo dietro i 39 canali di YouTube che ha rimosso, insieme a sei account Blogger e 13 account Google+. Google afferma che i canali di YouTube hanno accumulato un totale di 13.466 visualizzazioni negli Stati Uniti e che ci sono prove del fatto che le operazioni di attacco di IRIB risalgono almeno al gennaio 2017. Ha anche prove di attacchi da parte di altre forze iraniane che risalgono fino al 2011 e 2013.
"Gli attacchi di phishing sponsorizzati dallo stato, e gli attori associati all'IRIB che abbiamo descritto sopra, non sono chiaramente gli unici attori sponsorizzati dallo stato sul lavoro su Internet", scrive Walker. "Ad esempio, l'anno scorso abbiamo divulgato informazioni su attori collegati all'Agenzia di ricerca su Internet (IRA). Da allora, abbiamo continuato a monitorare i nostri sistemi e ampliato la gamma di attori correlati all'IRA contro i quali abbiamo agito ".
I 652 account rimossi da Facebook
Facebook, che ha lavorato anche con FireEye, una società di cibersicurezza, ha rilasciato la maggior parte delle informazioni sugli attacchi che ha scoperto sulla sua piattaforma e su Instagram, suddividendo le sue indagini in quattro parti.
Le prime tre parti dell'indagine hanno coinvolto pagine, gruppi e account identificati come "Liberty Front Press" e "Quest 4 Truth" – entrambi supportati da organizzazioni dei media iraniane. Gli attacchi includevano campagne per distribuire contenuti dannosi, creare eventi falsi e tentativi di hackerare account utente di Facebook e diffondere malware.
La quarta parte dell'indagine, che non era collegata ai gruppi iraniani, includeva la rimozione di pagine, gruppi e conti collegati a un servizio di intelligence militare russo.
Le 652 Pagine, gruppi e account che Facebook ha rimosso aveva un totale di 983.000 follower e aveva speso più di $ 12.000 in pubblicità.
Ecco alcuni esempi di contenuti dannosi pubblicati su Facebook e condivisi nel Regno Unito e negli Stati Uniti:
Facebook afferma di aver trovato prove di attacchi risalenti al 2011 e di recente come quest'anno.
Dalla politica di cybersecurity di Facebook, Nathaniel Gleicher:
I primi account di "Liberty Front Press" che abbiamo trovato sono stati creati nel 2013. Alcuni di loro hanno tentato di nascondere la loro posizione, e in primo luogo hanno pubblicato contenuti politici incentrati sul Medio Oriente, oltre a Regno Unito, Stati Uniti e America Latina. A partire dal 2017, hanno aumentato la loro attenzione verso il Regno Unito e gli Stati Uniti. Conti e pagine collegati a "Liberty Front Press" costituivano in genere le notizie e le organizzazioni della società civile che condividevano le informazioni in più paesi senza rivelare la loro vera identità.
Il direttore della sicurezza di Facebook Chad Greene ha discusso il dilemma con le minacce alla cibersicurezza affrontate da Facebook e altre piattaforme.
Dai commenti di Greene sui recenti attacchi:
Non appena viene scoperta una minaccia informatica, le squadre di sicurezza devono affrontare una decisione difficile: quando intervenire. Abbiamo immediatamente chiuso una campagna per prevenire danni? O passiamo il tempo a indagare sull'estensione dell'attacco e chi c'è dietro, in modo che possiamo impedire che facciano di nuovo brutte cose in futuro?
Greene dice che il suo team si concentra su quanto sia attiva la minaccia, quanto sofisticati sono gli attori coinvolti, quanto danno viene fatto – e come la minaccia gioca negli eventi mondiali. Ha fatto riferimento alle 32 pagine rimosse nel mese di luglio che sono state rimosse perché si stava avvicinando un evento promosso dai cattivi attori e il team ha dovuto agire in fretta per evitare la possibilità di danni fisici per gli utenti che potrebbero aver programmato di partecipare.
Greene dice in altri casi, ritarda l'azione per imparare il più possibile dalle forze che stanno dietro al contenuto malevolo.
Facebook, insieme a Twitter e Google, collabora anche con le agenzie di intelligence statunitensi per salvaguardare le proprie piattaforme. Greene ha detto che Facebook condivide spesso la sua intelligenza con altre società una volta che ha "una conoscenza di base di ciò che sta accadendo".
Mentre nessuna delle aziende – Facebook, Twitter o Google – ha chiamato gli altri nei loro annunci questa settimana che coprono gli attacchi più recenti, è ovvio che le informazioni sono state condivise tra le tre per raccogliere quanti più dati possibili sui cattivi attori che sono stati esposti impegnarsi in attività dall'Iran.
Circa l'autore
Amy Gesenhues è General Assignment Reporter di Third Door Media, che copre le ultime notizie e gli aggiornamenti per Marketing Land e Search Engine Land. Dal 2009 al 2012, è stata una giornalista sindacata pluripremiata per un numero di quotidiani da New York al Texas. Con oltre dieci anni di esperienza nella gestione del marketing, ha contribuito a una varietà di pubblicazioni tradizionali e online, tra cui MarketingProfs.com, SoftwareCEO.com e Sales and Marketing Management Magazine. Leggi di più sugli articoli di Amy.
