Ο κολοσσός του διαδικτύου ανέφερε ότι η ομάδα, την οποία οι ειδικοί στην ασφάλεια αποκαλούν «Tortoiseshell», χρησιμοποιούσε ψεύτικους χαρακτήρες για να συνδέεται με τους στόχους της, να εξασφαλίζει την εμπιστοσύνη τους –κάποιες φορές σε διάστημα πολλών μηνών– και στη συνέχεια να τους οδηγεί σε άλλους ιστοτόπους, όπου τους εξαπατούσε να κλικάρουν κακόβουλους υπερσυνδέσμους. Με τον τρόπο αυτόν μόλυναν τις ηλεκτρονικές συσκευές τους με κακόβουλο, κατασκοπευτικό λογισμικό.
«Αυτή η δραστηριότητα είχε τα χαρακτηριστικά γνωρίσματα μιας καλά πληροφορημένης και επίμονης επιχείρησης. Βασιζόταν σε σχετικά ισχυρά μέτρα ασφαλείας για να αποκρύψει ποιος βρισκόταν από πίσω» ανέφερε η ερευνητική ομάδα του Facebook σε μια ανάρτηση στο μπλογκ της.
Οι χάκερ έφτιαχναν φανταστικά προφίλ σε διάφορους ιστοτόπους κοινωνικής δικτύωσης, για να εμφανίζονται πιο αξιόπιστοι. Συχνά ανέφεραν ότι είναι εργαζόμενοι ή αρμόδιοι για την πρόσληψη προσωπικού σε αεροδιαστημικές ή αμυντικές βιομηχανίες. Το LinkedIn της Microsoft ανέφερε ότι κατέβασε ορισμένους λογαριασμούς ενώ το Twitter επί του παρόντος «ερευνά» τις πληροφορίες που περιέχονται στην αναφορά του Facebook.
Το Facebook υποστηρίζει ότι η ομάδα χρησιμοποιούσε τις υπηρεσίες ηλεκτρονικού ταχυδρομείου, μηνυμάτων και συνεργασίας για να διανέμει το κακόβουλο λογισμικό, μεταξύ άλλων και μέσω υπολογιστικών φύλλων του προγράμματος Microsoft Excel. Ένας εκπρόσωπος της Microsoft ανέφερε ότι η εταιρεία είναι ενήμερη και παρακολουθεί την ομάδα αυτή, καθώς και ότι αναλαμβάνει δράση όταν εντοπίζει κακόβουλη δραστηριότητα.
Η Alphabet Inc, η «μητρική» εταιρεία της Google, διευκρίνισε ότι έχει εντοπίσει και μπλοκάρει μηνύματα ηλεκτρονικού ψαρέματος στο Gmail και εξέδωσε προειδοποιήσεις προς τους χρήστες του. Μέτρα λαμβάνει και η εφαρμογή ανταλλαγής μηνυμάτων στον χώρο εργασίας Slack Technologies Inc.
Σύμφωνα με το Facebook, οι χάκερ στοχοθετούσαν κυρίως ανθρώπους στις Ηνωμένες Πολιτείες, αλλά και ορισμένους στο Ηνωμένο Βασίλειο και την Ευρώπη. Η εταιρεία δεν κατονόμασε τις βιομηχανίες, υπάλληλοι των οποίων στοχοθετήθηκαν, αλλά είπε ότι ενημέρωσε τους ενδιαφερόμενους.
Σύμφωνα πάντα με την έρευνα του Facebook, ένα μέρος του κακόβουλου λογισμικού που χρησιμοποιούσαν οι χάκερ αναπτύχθηκε από τη Mahak Rayan Afraz, μια τεχνολογική εταιρεία που εδρεύει στην Τεχεράνη και συνδέεται με τους Φρουρούς της Επανάστασης.
