Công ty IT Ấn Độ được thuê để hack thông tin của các chính trị gia, nhà đầu tư và nhà báo trên toàn cầu

Một nhóm các nhà nghiên cứu an ninh mạng hôm nay đã đưa ra thông báo tố cáo một công ty CNTT Ấn Độ đang bí mật hoạt động trên nền tảng hacking-as-a-service, chuyên cung cấp các dịch vụ hack thuê trên toàn cầu.



Có trụ sở tại Delhi, BellTroX InfoTech bị cáo buộc đã nhắm mục tiêu đến hàng ngàn các cá nhân cấp cao, tầm cỡ và hàng trăm tổ chức khác nhau xuyên suốt sáu lục địa trong bảy năm qua.



Dịch vụ hack-for-hire này không được cung cấp bởi một tổ chức riêng biệt dưới sự bảo trợ của nhà nước, mà có vẻ, nó được cung cấp bởi một công ty tư nhân chuyên thực hiện các hoạt động gián điệp mạng thương mại hướng tới các mục tiêu cụ thể nhằm phục vụ cung cấp thông tin, dữ liệu cho các thám tử tư và khách hàng của họ.



Theo báo cáo mới nhất được công bố bởi phòng nghiên cứu Citizen Lab của Đại học Toronto, thì BellTroX – được đặt tên ‘ Dark Basin ‘ – thường nhắm mục tiêu tới các nhóm lợi ích, chính trị gia cấp cao, các quan chức chính phủ, CEO, nhà báo và những nhà bảo vệ nhân quyền.



“Trong suốt quá trình điều tra trong nhiều năm qua, chúng tôi phát hiện ra Dark Basin đã thực hiện nhiều cuộc gián điệp thương mại và thay mặt cho khách hàng của họ chống lại các đối thủ cạnh tranh liên quan đến các sự kiện xã hội, vụ án hình sự, các giao dịch tài chính, tin tức và hoạt động tuyên truyền”, báo cáo của phòng nghiên cứu này cho biết thêm.



Citizen Lab đã bắt đầu điều tra về nhóm tin tặc ‘Dark Basin’ vào năm 2017 sau khi họ được liên hệ bởi một nhà báo bị tấn công qua các trang lừa đảo phishing được chạy trên một công cụ rút ngắn mã nguồn mở URL Phurl tự lưu trữ.



Các nhà nghiên cứu này cũng phát hiện ra rằng những kẻ tấn công đã sử dụng cùng một trình rút ngắn URL để ngụy trang ít nhất 27.591 liên kết lừa đảo phishing khác có chứa địa chỉ email của mục tiêu bị tấn công.



“Vì những công cụ rút ngắn này tạo ra các địa chỉ URL với các mã ngắn tuần tự nhau, chúng tôi có thể liệt kê chúng và xác định được gần 28.000 địa chỉ URL bổ sung có chứa địa chỉ email của các mục tiêu bị tấn công.”



Ban đầu chúng tôi nghi ngờ nhóm tin tặc này hoạt động dưới sự bảo trợ của nhà nước, tuy nhiên, sau đó nó đã được xác định là một âm mưu hack-for-hire, nhắm tới  nhiều mục tiêu khác nhau.



Điều thú vị là, Sumit Gupta, chủ sở hữu hiện tại của BellTroX, đã từng bị truy tố ở California vào năm 2015 vì vai trò của anh ta trong một âm mưu hack-for-hire tương tự, cùng với hai thám tử tư khác – những người đã thừa nhận trả tiền cho anh ta để hack tài khoản của các giám đốc tiếp thị.



“Dark Basin đã để lại bản sao bộ kit mã nguồn phishing của chúng công khai trên các nền tảng trực tuyến, cùng với các tệp nhật ký” trong đó có “ghi lại mọi tương tác với các trang web lừa đảo thông tin xác thực, bao gồm cả các hoạt động thử nghiệm được thực hiện bởi chính những kẻ tấn công này”, Citizen Lab cho biết.



“Chúng tôi có thể xác định được một số nhân viên của BellTroX – những người có hoạt động đan xen trùng khớp với Dark Basin vì họ đã sử dụng các tài liệu cá nhân, bao gồm một CV để làm nội dung mồi khi kiểm tra các công cụ rút ngắn địa chỉ URL.”



“Họ cũng đã thực hiện các bài đăng trên các mạng xã hội mô tả lại những kỹ thuật tấn công kèm theo ảnh chụp màn hình có chứa các liên kết dẫn đến cơ sở hạ tầng của Dark Basin và nhận được những lời tán thưởng cho các kỹ thuật tấn công đó.”



Citizen Lab nhận được thông báo rằng hàng trăm cá nhân và các tổ chức khác nhau đã bị  BellTroX nhắm mục tiêu và phòng nghiên cứu này cũng đã chia sẻ những phát hiện của họ với Bộ Tư pháp Hoa Kỳ (DOJ) sau khi nhận được yêu cầu giúp đỡ từ  một số mục tiêu trong đó.



“Dark Basin có một danh mục mục tiêu đáng kinh ngạc, từ các quan chức cấp cao, các ứng cử viên chính phủ ở nhiều quốc gia khác nhau cho đến các công ty cung cấp dịch vụ tài chính như các quỹ phòng hộ (hedge funds), các ngân hàng và các công ty dược phẩm.”



“Nhiều mục tiêu của Dark Basin có linh cảm mạnh mẽ dù chưa được xác nhận chính xác rằng cuộc tấn công này chắc chắn có liên quan tới những tranh chấp, xung đột với một bên đối thủ cạnh tranh mà họ biết đến.”



Công ty an ninh mạng NortonLifeLock cũng đồng thời tiến hành một cuộc điều tra song song với tên gọi là “Mercenary.Amanda” nghiên cứu các hoạt động của Dark Basin, và đã đưa ra một danh sách bao gồm các chỉ số lần theo dấu vết tấn công trên hệ thống (Indicators of Compromise) của nhóm tin tặc này.



Theo TheHackerNews
The post Công ty IT Ấn Độ được thuê để hack thông tin của các chính trị gia, nhà đầu tư và nhà báo trên toàn cầu appeared first on SecurityDaily .