谁在指使这家印度 IT 公司攻击全球政治家、投资者和记者?
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
安全研究人员发现,一家名不见经传的印度 IT 公司一直在秘密地作为全球黑客雇佣服务或黑客即服务平台在运作。
它是谁?
这家公司位于印度首都德里,名为 BellTroX InfoTech。
该公司被指攻击数千名高级别个体和数千家组织机构,横跨六大洲,时长达七年之久。
虽然黑客雇佣 (Hack-for-hire) 服务并未作为国家黑客组织运作,但很可能作为一家黑客雇佣公司运作,代表私人调查者及其客户对既定目标开展商业网络间谍活动。
加拿大多伦多大学公民实验室 (Citizen Lab) 发布报告,将 BellTroX 公司称为 “Dark Basin” 黑客组织,它的攻击目标是倡导团体、高级政客、政府官员、CEO、记者和人权卫士。
报告指出,“在多年的调查过程中,我们发现 Dark Basin 可能代表其客户从事针对竞争对手的商业间谍活动,涉及高级别公共事件、刑事案件、金融交易、新闻和倡导活动等等。”
初次会面+深挖
公民实验室表示,2017年一名记者遭通过自托管开源 Phurl URL 短链接发送的钓鱼页面攻击后,该实验室开始调查 “Dark Basin” 组织。
研究人员发现,攻击者使用同样的 URL 短链接伪装了至少27,591个包含目标邮件地址的其它钓鱼链接,“由于这些短链接创建了带有顺序短代码的 URL,因此我们能够枚举它们并识别出近2.8万个包含目标邮件地址的其它 URL。”
刚开始,研究人员以为它是国家黑客组织,不过鉴于其攻击目标庞大且多样,因此被定性为黑客雇佣组织。
有意思的是,BellTroX公司的创始人 Sumit Gupta 曾在2015年因参与类似的黑客雇佣活动在加利福尼亚州遭起诉,该案还牵涉两名私人调查人员,他们证实自己曾向 Sumit Gupta 购买黑入市场营销高管账户的服务。
公民实验室指出,“Dark Basin 在网上公开了钓鱼包的源代码拷贝以及日志文件记录了和凭证钓鱼网站的每次交互,包括由 Dark Basin 操纵人员执行的测试活动。”
为此,公民实验室识别出和 Dark Basin 组织的活动重合的多名 BellTroX 员工,因为他们在测试 URL 短链接时使用了个人文档如简历作为诱饵内容。同时,他们还发布社交媒体帖子,描述并证实了包含 Dark Basin 基础设施链接截图的攻击技术。
现在怎么样了?
公民实验室随后通知了数百名遭此攻击的个人和机构并应多名目标的请求将研究结果和美国司法部共享。
公民实验室指出,Dark Basin 的攻击目标多样,包括多个国家的高级政府官员和候选人、多家金融公司如对冲基金和银行、医药公司等等不一而足。
而很多攻击目标都强烈地但无法证实攻击和自己知晓的某个党派的争端或纠纷有关。
网络安全公司 NortonLifeLock 也独立调查了该组织的活动,并将 Dark Basin 称为 “Mercenary.Amanda”,还发布了一个受陷指标清单。
推荐阅读
原文链接
https://thehackernews.com/2020/06/hacker-for-hire-belltrox-india.html
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~