Команда исследователей в области кибербезопасности Citizen Lab из Университета Торонто раскрыла малоизвестную индийскую IT-фирму, которая тайно действовала как «хакеры по найму» (hackers-for-hire) или «платформа для хакинга как услуга» (hacking-as-a-service). За последние семь лет целями BellTroX InfoTech, базирующейся в Дели, якобы были тысячи высокопоставленных людей и сотни организаций на шести континентах.
Hackers-for-hire работают не как спонсируемые государством группы, а скорее как аутсорсинговая компания, которая занимается коммерческим кибершпионажем против определённых целей в интересах частных детективов и их клиентов.
Согласно последнему отчёту специалистов, услуги BellTroX, или хакерской группировки Dark Basin, использовались для атак на высокопоставленных политиков, правительственных чиновников, генеральных директоров компаний, журналистов и правозащитников.
В ходе нашего многолетнего расследования мы обнаружили, что Dark Basin, вероятно, осуществляла коммерческий шпионаж от имени своих клиентов против оппонентов, вовлечённых в громкие публичные мероприятия, уголовные дела, финансовые операции, новостные истории и пропаганду, — говорится в отчёте.
Citizen Lab начала расследование в отношении группы Dark Basin в 2017 году после обращения журналиста: он наткнулся на фишинговые страницы, которые обслуживались через сокращатель URL-адреса Phurl с открытым исходным кодом. Позже исследователи обнаружили, что злоумышленники использовали тот же метод для маскировки не менее 27 591 другой фишинговой ссылки, содержащей адреса электронной почты целей.
Первоначально Dark Basin подозревали в связи с государством, однако позже группировку определили как хакеров по найму, учитывая разнообразие целей. Любопытно, что владельцу компании BellTroX Самиту Гупте в 2015 году в Калифорнии предъявили обвинение за его роль в аналогичной схеме, наряду с двумя частными детективами, которые признались, что платили ему за взлом учётных записей директоров по маркетингу.
Dark Basin оставил в открытом доступе копии исходного кода своего фишингового комплекта, а также файлы регистрации, которые регистрировали каждое взаимодействие с фишинговым сайтом, в том числе тестирование, выполняемое операторами Dark Basin, — говорится в сообщении Citizen Lab.
Благодаря этому специалисты смогли идентифицировать нескольких сотрудников BellTroX, чья деятельность частично совпадала с Dark Basin, поскольку они использовали личные документы, в том числе резюме, в качестве приманки при тестировании сокращателей URL. Работники также сделали посты в социальных сетях, в которых описывали методы атаки и брали на себя ответственность за них. Сообщения также включали скриншоты ссылок на инфраструктуру группировки.
Citizen Lab уведомила сотни людей и учреждений, которые стали целями BellTroX, и поделилась своими находками с Минюстом США по запросу нескольких жертв. Многие из атакованных хакерами людей считают, что это связано с разногласиями или конфликтом с «конкретной стороной, которую они знают».
Деятельностью Dark Basin заинтересовалась не только команда исследователей из Университета Торонто. Компания NortonLifeLock, специализирующаяся на кибербезопасности, также проводит параллельное расследование операций хакерской группировки и уже опубликовала список индикаторов компрометации (IoC).
