«Operazione Tripoli»: infettati 50 mila utenti Facebook

Hacker’s Dictionary . Mentre in Libia le bombe di Haftar cadono sui centri di detenzione per i migranti, la propaganda cambia passo e distribuisce malware a chi clicca sulle pagine dell’uomo forte del paese africano

di ARTURO DI CORINTO per Il Manifesto del 4 Luglio 2019

Mentre in Libia le bombe cadono e fanno strage di migranti nei centri di detenzione, da Israele giunge l’allarme che nel paese africano imperversa una tempesta informatica che ha colpito migliaia di ignari utenti di Facebook.

Circa 50.000 utenti di Facebook avrebbero infatti cliccato fin dal 2014 su Url infette legate alla Libia, ma solo oggi la compagnia israeliana Check Point Software ha divulgato le prove di quella che ha chiamato «Operazione Tripoli», una campagna malware rivolta agli utenti libici della piattaforma che ha colpito anche decine di migliaia di iscritti a Facebook in diversi paesi, inclusi Germania, Egitto, Turchia, Stati Uniti e Canada.

I ricercatori hanno scoperto la campagna analizzando una pagina di Facebook intestata al generale ribelle Khalifa Haftar, antagonista del presidente legittimo Fayez al Serraj, sostenuto dalle Nazioni Unite.

La pagina, creata ad Aprile e subito chiusa da Facebook insieme ad altre 30 – una con circa 140 mila follower -, conteneva indirizzi web per il download di file presentati come documenti provenienti da fonti di intelligence compromesse aventi le prove della cospirazione di paesi come il Qatar e la Turchia contro la Libia. Insieme al network di pagine collegate offriva informazioni su raid aerei, terroristi catturati e altri contenuti legati alle tensioni politiche che oggi attraversano la Libia.

Gli utenti di Facebook che hanno fatto clic sia da smartphone che da pc sui link malevoli proposti dalle pagine incriminate hanno però finito per scaricare sui loro dispositivi senza saperlo una serie di RAT (Remote Execution Tool) utilizzati per spiare e rubare dati. Si tratta di strumenti open source come Houdini, Remcos e SpyNote. I malware in questione, ospitati su servizi di condivisione di file come Dropbox e Google Drive, caricati perfino sul sito web di Libyana, operatore di telefonia mobile del paese africano, sono stati trovati anche su alcuni siti russi e marocchini. Perciò non è dato sapere con certezza quanti siano stati infettati fino ad oggi.

Lotem Finkelstein di Check Point Software, ha affermato che il motivo principale dell’attacco informatico sarebbe il furto di dati personali sensibili, comprese le credenziali di social network e di altri servizi online. Un fatto che non stupisce visto che molti combattenti libici nel passato sono stati rintracciati e scoperti proprio via Facebook.

Ad allertare gli analisti dell’Operazione Tripoli sono stati i molti errori grammaticali presenti nei post scritti in arabo e l’utilizzo di link abbreviati in grado di offuscare la reale destinazione delle pagine compromesse dal malware.

Come aveva evidenziato l’anno scorso un’inchiesta del New York Times, Facebook è da tempo usato come un’arma dalle fazioni che si contendono il territorio libico anche per coordinare gli attacchi ed agevolare il commercio di armi ed esseri umani attraverso il Mediterraneo. Ma se prima la battaglia era prevalentemente a colpi di propaganda e disinformazione questa volta l’escalation potrebbe riguardare il mondo delle spie: «L’hacker – o il gruppo di hacker – dietro all’operazione ha condiviso più volte documenti governativi top secret e documenti ufficiali di personale di alto profilo nel suo falso account Facebook».

L’accaduto dimostra ancora una volta come gli attacchi di phishing e malware non usino soltanto la posta elettronica e che i malware distribuiti tramite i social rappresentano una minaccia ancor più grave perché chi li usa confida nella loro presunta sicurezza.