Une équipe de chercheurs en cybersécurité a dévoilé aujourd’hui une société informatique indienne peu connue qui fonctionnait secrètement en tant que service mondial de hackers-pour-compte ou plate-forme de hacking-as-a-service.
Basé à Delhi, BellTroX InfoTech aurait ciblé des milliers d’individus de haut niveau et des centaines d’organisations sur six continents au cours des sept dernières années.
Les services de piratage pour compte d’autrui ne fonctionnent pas comme un groupe parrainé par l’État, mais probablement comme une entreprise de piratage pour compte d’autrui qui mène un cyberespionnage commercial contre des cibles données au nom d’enquêteurs privés et de leurs clients.
Selon le dernier rapport publié par le Citizen Lab de l’Université de Toronto, BellTroX — surnommé ‘Bassin sombre«en tant que groupe de piratage informatique – ciblait des groupes de défense, des politiciens de haut rang, des fonctionnaires, des PDG, des journalistes et des défenseurs des droits humains.
« Au cours de notre enquête pluriannuelle, nous avons constaté que Dark Basin avait probablement mené des activités d’espionnage commercial au nom de ses clients contre des opposants impliqués dans des événements publics de haut niveau, des affaires criminelles, des transactions financières, des reportages et des activités de plaidoyer », indique le rapport. .
Citizen Lab a commencé son enquête sur le groupe « Dark Basin » en 2017 après avoir été contacté par un journaliste ciblé par des pages de phishing qui étaient servies via le raccourcisseur d’URL Phurl open-source auto-hébergé.
Les chercheurs ont découvert que les attaquants utilisaient le même raccourcisseur d’URL pour masquer au moins 27 591 autres liens de phishing contenant les adresses e-mail des cibles.
« Les raccourcisseurs ayant créé des URL avec des codes courts séquentiels, nous avons pu les énumérer et identifier près de 28 000 URL supplémentaires contenant les adresses e-mail des cibles. »
Initialement soupçonné d’être parrainé par l’État, le groupe de piratage a ensuite été identifié comme un système de piratage contre rémunération, compte tenu de la variété des cibles.
Fait intéressant, Sumit Gupta, le propriétaire de la société BellTroX, était autrefois mis en examen en Californie en 2015 pour son rôle dans un programme similaire de piratage à la location, ainsi que deux enquêteurs privés qui ont admis l’avoir payé pour pirater les comptes de responsables marketing.
« Dark Basin a laissé des copies du code source de son kit de phishing disponibles ouvertement en ligne, ainsi que des fichiers journaux » qui « ont enregistré chaque interaction avec le site Web de phishing d’informations d’identification, y compris les activités de test effectuées par les opérateurs de Dark Basin », a déclaré Citizen Lab.
«Nous avons pu identifier plusieurs employés de BellTroX dont les activités se chevauchaient avec Dark Basin parce qu’ils utilisaient des documents personnels, y compris un CV, comme contenu d’appât lors du test de leurs raccourcisseurs d’URL.
«Ils ont également publié des publications sur les réseaux sociaux décrivant et prenant le crédit des techniques d’attaque contenant des captures d’écran de liens vers l’infrastructure de Dark Basin.
Citizen Lab a notifié des centaines d’individus et d’institutions ciblés par BellTroX et a partagé ses conclusions avec le ministère de la Justice des États-Unis (DOJ) à la demande de plusieurs cibles.
« Dark Basin a un portefeuille de cibles remarquable, allant des hauts fonctionnaires et candidats de plusieurs pays aux sociétés de services financiers telles que les fonds spéculatifs et les banques aux sociétés pharmaceutiques. »
« De nombreuses cibles de Dark Basin ont un sentiment fort mais non confirmé que le ciblage est lié à un différend ou à un conflit avec une partie particulière qu’ils connaissent. »
Entreprise de cybersécurité NortonLifeLock a également mené une enquête parallèle sur les opérations de Dark Basin, surnommée « Mercenary.Amanda » et a publié une liste d’indicateurs de compromis (IoC).
Poster un commentaire