Một nhóm các nhà nghiên cứu an ninh mạng ngày nay đã vượt qua một công ty CNTT Ấn Độ ít được biết đến, đang bí mật hoạt động như một dịch vụ cho thuê tin tặc toàn cầu hoặc nền tảng hack-as-a-service.
Có trụ sở tại Delhi, BellTroX InfoTech bị cáo buộc nhắm mục tiêu hàng ngàn cá nhân cao cấp và hàng trăm tổ chức trên sáu lục địa trong bảy năm qua.
Dịch vụ hack cho thuê không hoạt động như một nhóm được nhà nước bảo trợ mà có khả năng là một công ty hack-for-cho thuê thực hiện các cuộc tấn công mạng thương mại chống lại các mục tiêu được đưa ra thay mặt cho các nhà điều tra tư nhân và khách hàng của họ.
Theo báo cáo mới nhất được công bố bởi Phòng thí nghiệm công dân của Đại học Toronto, BellTroX hồi được mệnh danh là ‘Lưu vực tối‘như một nhóm hack, nhóm nhắm mục tiêu các nhóm vận động, chính trị gia cao cấp, quan chức chính phủ, CEO, nhà báo và nhà bảo vệ nhân quyền.
“Trong suốt quá trình điều tra nhiều năm, chúng tôi thấy rằng Dark Basin có thể đã thực hiện gián điệp thương mại thay mặt cho khách hàng của họ chống lại các đối thủ liên quan đến các sự kiện công cộng, vụ án hình sự, giao dịch tài chính, tin tức và tuyên truyền”, báo cáo viết .
Citizen Lab đã bắt đầu cuộc điều tra của mình về nhóm ‘Dark Basin’ vào năm 2017 sau khi được một nhà báo liên hệ với các trang lừa đảo được phục vụ thông qua trình rút ngắn URL Phurl tự lưu trữ.
Các nhà nghiên cứu phát hiện ra rằng những kẻ tấn công đã sử dụng cùng một trình rút ngắn URL để ngụy trang ít nhất 27.591 liên kết lừa đảo khác có chứa địa chỉ email của mục tiêu.
“Vì các công cụ rút ngắn đã tạo các URL với mã ngắn liên tiếp, chúng tôi có thể liệt kê chúng và xác định gần 28.000 URL bổ sung có chứa địa chỉ email của các mục tiêu.”
Ban đầu bị nghi ngờ là nhà nước bảo trợ, nhóm hack sau đó được xác định là một kế hoạch hack-for-cho thuê, với nhiều mục tiêu khác nhau.
Thật thú vị, Sumit Gupta, chủ sở hữu của công ty BellTroX, đã từng bị truy tố tại California năm 2015 cho vai trò của mình trong một kế hoạch hack-for-cho thuê tương tự, cùng với hai nhà điều tra tư nhân thừa nhận đã trả tiền cho anh ta để hack tài khoản của các giám đốc tiếp thị.
“Dark Basin đã để lại các bản sao của mã nguồn bộ lừa đảo trực tuyến, cũng như các tệp nhật ký” “ghi lại mọi tương tác với trang web lừa đảo thông tin xác thực, bao gồm cả hoạt động thử nghiệm được thực hiện bởi các nhà khai thác Dark Basin”, Citizen Lab cho biết.
“Chúng tôi có thể xác định một số nhân viên BellTroX có hoạt động chồng chéo với Dark Basin vì họ đã sử dụng các tài liệu cá nhân, bao gồm CV, làm nội dung mồi khi kiểm tra các công cụ rút ngắn URL của họ.”
“Họ cũng đã thực hiện các bài đăng trên phương tiện truyền thông xã hội mô tả và lấy tín dụng cho các kỹ thuật tấn công có chứa ảnh chụp màn hình các liên kết đến cơ sở hạ tầng Dark Basin.”
Citizen Lab đã thông báo cho hàng trăm cá nhân và tổ chức mà BellTroX nhắm đến và chia sẻ những phát hiện của họ với Bộ Tư pháp Hoa Kỳ (DOJ) về yêu cầu của một số mục tiêu.
“Dark Basin có một danh mục mục tiêu đáng chú ý, từ các quan chức chính phủ cao cấp và các ứng cử viên ở nhiều quốc gia cho đến các công ty dịch vụ tài chính như các quỹ phòng hộ và ngân hàng cho đến các công ty dược phẩm.”
“Nhiều mục tiêu của Dark Basin có ý thức mạnh mẽ nhưng chưa được xác nhận rằng việc nhắm mục tiêu được liên kết với tranh chấp hoặc xung đột với một bên cụ thể mà họ biết.”
Công ty an ninh mạng NortonLifeLock đồng thời tiến hành một cuộc điều tra song song về các hoạt động của Dark Basin, được mệnh danh là “Mercenary .Aanda” và đưa ra một danh sách các chỉ số thỏa hiệp (IoC).
