Facebook greift gegen Hackernetzwerk Ghostwriter durch

Facebook hat das sogenannte Hackernetzwerk Ghostwriter von der Plattform geworfen. Ghostwriter hatte ukrainische Militärs ins Visier genommen. Über Phishing-Attacken wurde versucht, deren Social Media-Accounts zu übernehmen und mit gefälschten Posts ukrainische Soldaten zur Aufgabe zu überreden. Das meldet der aktuelle Meta-Gefahren-Report in seinem Ukraine Sicherheits-Update (HIER).

Deutliche Zunahme der Angriffe durch Ghostwriter

Facebook meldete in seinem Bericht vom 7. April eine deutliche Zunahme von Angriffen auf die Konten ukrainische Militärs. 

As we’ve shared before, Ghostwriter typically targets people through email compromise and then uses that to gain access to their social media accounts across the internet. Since our last public update, this group has attempted to hack into the Facebook accounts of dozens of Ukrainian military personnel. In a handful of cases, they posted videos calling on the Army to surrender as if these posts were coming from the legitimate account owners. We blocked these videos from being shared.

(HIER)

Wie wir bereits berichtet haben, zielt Ghostwriter in der Regel auf Menschen ab, indem sie ihre E-Mails kompromittieren und sich dann über das Internet Zugang zu ihren Social-Media-Konten verschaffen. Seit unserem letzten öffentlichen Update (Anm. d. Verf.: am 27. Februar) hat diese Gruppe versucht, sich in die Facebook-Konten von Dutzenden ukrainischen Militärangehörigen zu hacken. In einigen Fällen wurden Videos gepostet, in denen die Armee zur Kapitulation aufgerufen wurde, als ob diese Beiträge von den rechtmäßigen Kontoinhabern stammten. Wir haben die Weitergabe dieser Videos blockiert.

Übersetzt mit www.DeepL.com/Translator (kostenlose Version)

In dem erwähnten Update vom 27. Februar hatte das Mutterunternehmen von Facebook, WhatsApp und Instagram, Meta, erklärt, dass Ghostwriter

„attempts to target people on Facebook to post YouTube videos portraying Ukrainian troops as weak and surrendering to Russia, including one video claiming to show Ukrainian soldiers coming out of a forest while flying a white flag of surrender.“ Meta said it had „taken steps to secure accounts that we believe were targeted by this threat actor“ and „blocked phishing domains these hackers used to try to trick people in Ukraine into compromising their online accounts.“

Übersetzt mit www.DeepL.com/Translator (kostenlose Version)

„Versuche entdeckt, Menschen auf Facebook anzusprechen, um YouTube-Videos zu posten, die ukrainische Truppen als schwach und sich Russland ergeben darstellten, einschließlich eines Videos, das angeblich ukrainische Soldaten zeigt, die aus einem Wald kommen und eine weiße Kapitulationsflagge schwenken.“

Übersetzt mit www.DeepL.com/Translator (kostenlose Version)

Meta erklärte, diverse Schritte unternommen zu haben, um die in den Fokus der Hacker geratenen und damit besonders gefährdeten Konten zu sichern. So wurden z.B. einschlägige Phishing-Domains blockiert. Ghostwriter setzte seine Angriffe jedoch weiter fort und hackte sich in die Konten ukrainischer Militärangehöriger ein.

Wer ist Ghostwriter?

Der Name dieses Hackerkollektivs fiel erstmals auf, als das Cyber-Security-Unternehmen Mandiant (HIER) damit eine Kampagne beschrieb, die Einfluss nehmen sollte auf die öffentliche Wahrnehmung der Präsenz der NATO in Osteuropa. Diese Kampagne wiederum soll im engen Zusammenhang mit einer Cyberspionage-Gruppe namens UNC1151 stehen, der wiederum enge Beziehungen zur weißrussischen Regierung nachgesagt werden.

Weitere Netzwerke entfernt

Facebook hat nicht nur Ghostwriter von der Plattform entfernt, sondern noch weitere schädliche Netzwerke identifiziert. Hier handelte es sich u.a. wohl um eine Gruppe russischer Accounts, die über Massenmeldungen angegriffene Konten zur Löschung durch Facebook bringen wollten. Meta meldet, dass im Rahmen der Richtlinien gegen Massenmeldungen durch unauthentisches Verhalten ein Netzwerk entfernt wurde. Dieses habe wiederholt das Meldetool missbraucht, um Personen in der Ukraine und in Russland wegen fiktiver Verstöße gegen die Facebook-Richtlinien zu melden und sie so zum Schweigen zu bringen (HIER).

Bemerkenswert in diesem Zusammenhang ist die Tatsache, dass die Attacken der Gruppe dem Einmarsch Russlands in die Ukraine zugenommen hatten.

The now-removed accounts „relied on fake, authentic, and duplicate accounts to submit hundreds—in some cases, thousands—of complaints against their targets through our abuse reporting tools.“ The group’s activity increased in mid-February, before Russia’s invasion of Ukraine.

Die nun entfernten Konten „verließen sich auf gefälschte, authentische und doppelte Konten, um Hunderte – in einigen Fällen Tausende – von Beschwerden gegen ihre Ziele über unsere Missbrauchsmeldetools einzureichen“. Die Aktivitäten der Gruppe nahmen Mitte Februar zu, also vor dem Einmarsch Russlands in die Ukraine.

Übersetzt mit www.DeepL.com/Translator (kostenlose Version)

In einer Gruppe zum Thema Kochen hatten sich ca. 50 Nutzer zusammengefunden, um die in großem Stil die Massenmeldungen mittels teils gefälschter, teils authentischer, teils doppelter Konten durchzuführen. In einzelnen Fällen war von hunderten bis tausenden Meldungen die Rede. Dabei wurden nicht nur Ukrainer adressiert, sondern auch Menschen in Russland, Israel, den Vereinigten Staaten und Polen

Facebook wurde durch eigene Untersuchungen und die eigenen automatischen Systeme auf die Praktiken aufmerksam und hat die entsprechenden Konten deaktiviert.

Fiktive KI-generierte Personas

Ein weiteres Netzwerk, das in unlauterer Absicht agierte, betraf verschiedene russische Facebook- und Instagram-Konten, die sich gegen ukrainische Nutzer richteten. Hier wurden mit künstlicher Intelligenz Personas und Marken generiert, die mit großem Aufwand zu glaubwürdigen Konten aufgebaut wurden, um die Überprüfung durch die Plattformen und Analysten zu überstehen. Hier wurden z.B. durch GAN-Technologie photorealistische Bilder niemals existenter Personen erzeugt (HIER).

Sichere Facebook-Konten in der Ukraine und Russland

Facebook gibt in seinem Sicherheitsreport auch konkrete Hilfestellung, wie Nutzer im Allgemeinen und besonders gefährdete Nutzer im Besonderen ihre Konten sichern können.

So wird den Nutzern in der Ukraine und in Russland dringend angeraten, die Sicherheit ihrer Online-Konten Konten, einschließlich E-Mail und sozialer Medien, zu erhöhen. Um die Online-Konten zu schützen und den Zugang zu sozialen Medien und anderen Websites zu erhalten, die im jeweiligen Land gesperrt sind, rät Facebook:

• Herunterladen einer VPN-App auf die Endgeräte, um den Zugang zu gesperrten Websites, wie z. B. sozialen Medien, über eine verschlüsselte Verbindung
• Aktivierung der Zwei-Faktor-Authentifizierung mit einer Authentifizierungs-App eines Drittanbieters wie Google Authenticator oder Duo
• Verwendung von sicheren und für jedes Konto einzigartigen Passwörtern. Kein Passwort-Recycling.

Fazit

Diverse Netzwerke und Nutzergruppen versuchen via Facebook und den anderen Meta-Plattformen wie WhatsApp und Instagram, ukrainische und russische Nutzer anzugreifen, deren Konten zu hacken und für die Verbreitung von russlandfreundlichem Propagandamaterial zu missbrauchen oder ihre Löschung von den Plattformen herbeizuführen. Besonders Angehörige des ukrainischen Militärs waren in das Fadenkreuz der Hacker geraten. Das Hacker-Netzwerk Ghostwriter soll für Angriffe auf die Konten ukrainischer Militärangehöriger verantwortlich sein, über die u.a. Videos verteilt wurden, die ukrainische Soldaten demoralisieren und zur Aufgabe bewegt werden sollten.

Alle Top-Themen von gestern: ​https://www.mimikama.org/tagesthemen