【安全圈】幹著全球最大的黑客間諜情報生意的竟然是印度一小IT公司

2020-12-09 騰訊網

這兩天,公民實驗室Citizen Lab(簡稱:Citizen Lab)扒掉了一家印度公司的底褲。Citizen Lab的研究員稱其正在進行:「有史以來規模最大的僱傭間諜活動之一。」

BellTroXInfoTech(簡稱:BellTroX)是一家貌不驚人的印度信息技術服務公司,明面上,它扮演著好好先生的角色,是一家服務於醫院、診所、專家證人、獨立從業者和企業等群體的轉錄和聽寫服務提供商。

背地裡,他卻則幹著為客戶提供黑客間諜情報服務的勾當,在長達7年的時間裡對全球超過1萬個電子郵件帳戶進行了入侵。把邪惡的觸手伸向了歐洲的政府官員、巴哈馬的博彩大亨以及美國著名投資機構等群體,其中就包括美國私募股權巨頭KKR和做空機構渾水(Muddy Waters)。

沒錯,那家忙著調查別人家的公司,實際上,它也在被別人「調查」。

(BellTroX公司官網)

「印度無名小IT公司」罪行初現端倪

2017年,一名被釣魚攻擊的記者向Citizen Lab求助,詢問是否可以對不堪其擾的釣魚郵件進行調查。

隨後,Citizen Lab對發來的釣魚連結進行了溯源分析, Citizen Lab很快發現,這很可能是一個「黑客僱傭軍」在全球範圍內發起的黑客入侵活動。

CitizenLab將這一黑客僱傭軍組織標記命名為 「Dark Basin」(黑暗盆地)。

跨越萬裡的郵件 ,一路追溯到印度

在對釣魚連結進行了溯源分析時,Citizen Lab通過技術手段追查到了大量包含相同釣魚連結的URL地址。在這裡,Citizen Lab順利的找到了抽絲剝繭的線頭。

他們發現,在大量的釣魚郵件中,有數百封郵件中的時間戳與印度UTC + 5:30時區的工作時間相吻合,可以加以猜測,這些郵件的源頭可能是印度。

接下來,Citizen Lab又相繼在Dark Basin組織使用的URL縮短服務中發現了幾個與印度相關的名詞:Holi,Rongali和Pochanchi,它們分別是印度宗教中兩個著名的節日,以及音譯的孟加拉數字「55」。

在釣魚郵件的日誌記錄代碼中,有些代碼也以UTC + 5:30記錄了時間戳,日誌文件還顯示Dark Basin似乎使用印度的IP位址進行了一些測試。

這絕非巧合。

畢竟再高超的黑客技術,也難以掩蓋技術背後那些人的生活痕跡。

(Dark Basin使用的URL縮短服務)

有記憶的網際網路,難以清除的蛛絲馬跡

緊接著Citizen Lab繼續順著發現的線索一路查了下去,當他們在印度的一些網站進行信息檢索時再次有了新發現。他們在領英上發現了一家名為BellTroX的公司。該公司僱員的工作職責描述寫的十分耐人尋味,描述中這樣寫道:工作內容包括電子郵件滲透、廣告推銷、企業間諜、聲波發射、提供網絡情報等。

BellTroX公司的僱員們還在社交媒體上發帖讚揚了攻擊技術,並附上了含有Dark Basin相關連結的截圖。

(BellTroX公司員工在社交媒體中發布的攻擊技術討論貼)

就這樣經過一步步推敲,Citizen Lab最終捋清了Dark Basin與BellTroX之間千絲萬縷的聯繫,BellTroX公司就是操縱Dark Basin組織的幕後黑手!

大肆兜售黑客間諜服務,廣撒網「監視全球」

在上文中提到, Citizen Lab在分析求助者發來的釣魚郵件時,Citizen Lab通過技術手段追查到了大量包含相同釣魚連結的URL地址,這才得以一步步追蹤到這個神秘的黑客僱傭組織。

而這正是得益於Dark Basin使用的一種用於掩蓋釣魚網站的技術——URL縮短器。

URL縮短器,顧名思義就是把網址變短的工具。

它是一個網絡站點,可以從一個長的URL中生成一個短的URL或者網頁地址,以方便記憶和輸入。通過URL縮短服務來維護兩個URL之間的對應關係,並且可以在人們輸入較短的URL的時候重定向到長的URL頁面上。

例如,如果你需要頻繁訪問在電子郵件消息中輸入一個URL,或者通過電話來說這個網址,那麼長的統一資源定位符就更容易拼寫錯誤或者理解錯誤。網址縮短器就是專為解決這個問題而生的神器。

當然,任何技術都擁有其「雙刃劍效應」。黑客們就抓住了網址縮短器的弊端,偽造出了更加真實的釣魚頁面。

(CitizenLab觀察到的自定義URL縮短器示例)

言歸正傳, 通過這個發現,Citizen Lab觀察到Dark Basin使用的惡意URL縮短程序都會運行一個名為Phurl的開源URL縮短軟體。再對該軟體的代碼分析,就輕易的追蹤到了Dark Basin運營的28種獨特的URL縮短服務,進而枚舉出了包含相同釣魚軟體的27,591個URL地址。

在分別聯繫部分URL目標所屬的個人或機構後,Citizen Lab發現Dark Basin嘗試攻擊的目標十分廣泛且涉及多個行業。

其中最受關注的行業包括全球多家銀行和金融業務公司,律師事務所,能源行業企業和政府機構。其中不乏多個政府官員、行業知名人士、律師、投資者與媒體記者。其業務範圍之廣,稱之「正監視全球」也毫不為過。

釣魚郵件是黑客組織最擅長利用的重要手段

紐約做空公司Safkhet Capital 正是 2017-2019 年 BellTroX 瞄準的 17 家投資公司之一,在路透社對 Safkhet Capital 創始人 Fahmi Quadir 的採訪中,她表示,在基金啟動不久後,自己就注意到了電子郵件數據的激增。最初「似乎並不是惡意郵件,只是佔星術之類的內容。然後變成色情內容。」

最終,黑客們又加大了攻擊力度,偽裝成同事、家人或其他做空機構,還有的郵件則偽裝成了Facebook登錄請求或色情網站退訂郵件。

我們也不難看出,釣魚郵件依舊是Dark Basin,也是同類黑客組織的重要攻擊方式。

網絡犯罪服務正變得更廉價,更容易獲取

一家聖地牙哥私家偵探公司在接受採訪時表示,他們就曾經收到號稱可以提供「數據滲透」和「電子郵件滲透」服務的來自印度黑客廣告,其中有一個銷售還自稱是BellTroX的前僱員。

而在全球範圍內,有十餘家歐美私家偵探都表示曾經收到過類似廣告。

DarkBasin的成千上萬個目標表明,這些攻擊目標遍布各國政治領域和全球商業公司,以及個人。甚至就連Citizen Lab也無法確認是誰在僱傭Dark Basin從事黑客間諜活動,事實上,網絡犯罪服務正在變得更便宜,也更容易獲取,任何國家或私人機構都可以輕易從地下暗網市場上購買此類網絡犯罪服務。

另一安全巨頭趨勢科技在其最新發布的暗網調查白皮書中也曾提到,在暗網中銷售的網絡犯罪服務日益常見,網絡犯罪服務價格也有所下降。

2020年,美國信用卡的價格約為1美元,而2015年為20美元。俄羅斯的殭屍網絡也變得相對便宜,價格約為200美元。通用殭屍網絡每天的費用約為5美元,而開發人員只需100美元即可獲得它們。北美市場的加密服務已從1,000美元降至平均每月100美元,便宜的服務價格為20美元。

商業黑客活動興起,社會信息安全再亮警燈

儘管在Citizen Lab公布的數據中我們能夠看到,有大量的攻擊目標是與商業相關的投資機構、金融服務機構,以及大量針對個人的攻擊,不難看出是與商業竊密,或是個人糾紛相關。

但那些針對政府政要高官、選民,以及媒體記者的釣魚攻擊,背後明顯隱藏著更大的野心。或許下一次因僱傭黑客幹預大選導致的政黨衝突,因黑客操控輿論而引發的國際形勢動蕩,都與其難逃干係。

事實上,無論這些網絡黑客僱傭軍受僱於誰,商業黑客行為已經成為了一個全球性的安全問題。這樣大規模的商業黑客活動一旦興起,必將會給社會安全帶來難以估量的後果。

文章來源:mgclouds

相關焦點

  • 美國財政部被黑客監視長達數月,CISA 和 FBI...
    2010 年,Google 在宣布退出大陸市場的兩個月前曾受到了 APT 攻擊,對方企圖竊取包括 Google、Adobe 在內的 20 多家公司的重要原始碼。全球最大的專業安全技術公司 McAfee 表示,這次攻擊真的是太兇猛了,不但使用了多種攻擊手段和加密方式,還深入了公司內部的網絡並巧妙的掩蓋了自己的行動。
  • 美國中情局首次發布電視廣告面向大眾招聘,黑客和數字間諜...
    美國中情局(CIA)一直是全球最為神秘的地方,美國當前手中所掌握的大部分數據和情報基本上都來自CIA。不過,這個神秘的組織最近卻一反常態,面對公眾打起了招聘廣告,難道是因為人才緊缺?在中央情報局現任局長吉娜·哈斯佩爾上任後,將招聘工作作為其秘密機構的重中之重,在招聘上也與矽谷展開了激烈競爭,因為CIA在工作中越來越側重於黑客技術和其他數字間諜工具。
  • 安全圈有多少人可以年薪百萬?Black Hat 做了個小調查
    現在我們就來扒一扒差不多是人手一份的CISSP(註冊信息系統安全專家)CISSP是一種反映信息系統安全專業人員水平的證書,可以證明證書持有者具備了符合國際標準要求的信息安全知識和經驗能力,已經得到了全球範圍的廣泛認可
  • 全球最大間諜博物館搬家 中國元素很奇怪
    在位於美國華盛頓的國際間諜博物館,一款可以在5秒鐘內佩戴好的面具。在位於美國華盛頓的國際間諜博物館,一款可以探測車輛數量和類型的偽裝「石塊」。在位於美國華盛頓的國際間諜博物館,一款恩尼格瑪密碼機。西施是否以及如何擔任「間諜」,疑點與爭議尚多。其生平事跡主要來自編撰於東漢初的《吳越春秋》一書,此書問世時,距吳國滅亡已約500年,被認為傳說和藝術加工成分較多。博物館還說,中國養蠶、種茶、制瓷的技術,都是被歐洲間諜「偷」走的。公元6世紀,兩名基督教僧侶把蠶繭藏在中空的竹製品裡帶到羅馬帝國。
  • 美國黑客公務員「上班那些事兒」 | 現代快報
    設立之初,該部門就與國安局其他部門完全隔離,而且任務明確:找辦法入侵全球通訊網絡。  《明鏡》周刊所獲得的美國國安局內部文件顯示,「TAO」的行動小組參加了美國情報部門所實施的許多秘密行動,其中包括反恐行動、網絡攻擊、傳統間諜行動等。文件顯示,「TAO」有各種間諜工具,該部門能發現各大IT巨頭們的技術漏洞,並實施隱秘、有效的攻擊。
  • 全球最大規模DEFCON GROUP登陸ISC 頂級生物黑客來襲
    世界黑客大會DEFCON是全球安全圈最神秘最前沿的黑客大派對,以360為代表的中國團隊近年來在DEFCON也多有斬獲,但是能親臨現場仍然是眾多白帽黑客的夢想。作為國內最早獲得官方授權的DEECON GROUP沙龍,DC010一直致力於提供自由靈活的分享平臺,黑客炫技舞臺。
  • 【安全圈】「黑客」能改高考分,交錢就包過?教育部提醒:別上當!
    內網閱卷不存在黑客入侵可能不法分子利用考生和家長想順利通過考試的心理,通過散布 " 考試未過,可內部操作 "" 內部加分 "" 交錢包過 " 等詐騙信息,聲稱可以通過技術手段進行改分,騙取事主轉帳。【案例】2019 年高考成績公布後,小邵對自己的成績有點不太滿意,恰巧此時有位神秘的陌生人聯繫上了他,宣稱自己是名黑客,可以修改高考成績。
  • 中國人充當外國間諜者竟然如此之多!
    第二名:北京,各類各級為外國情報機構服務的間諜大約15000名左右。北京的十大間諜群體分別是:韓國間諜群,日本間諜群,美國間諜群,俄羅斯間諜群,寶島臺灣間諜群,法國間諜群,英國間諜群,印度間諜群,以色列間諜群,伊朗間諜群。第三名:上海,各類為外國情報機構服務的間諜大約12000名。
  • 博覽安全圈:Safari瀏覽器被黑客成功入侵
    蘋果Safari瀏覽器被黑客成功入侵  之前,蘋果一直以安全自居,但近幾年越來越多的網絡安全時間的爆發不禁讓我們想到一個問題,蘋果真的安全嗎?  就在最近,在一起安全廠商發起的黑客大賽上,phoenhex黑客團隊的Samuel Gro?利用包含macOS提權漏洞的三個BUG鏈成功入侵了Safari瀏覽器。
  • 入侵中國長達3個月,越南黑客組織欲竊取新冠肺炎情報
    近日,FireEye 發布了一份研究報告,報告稱:為收集 COVID-19的相關情報,至少從 2020 年1月至4月,越南黑客組織 APT32 針對中國目標開展了持續的入侵活動。據悉,黑客組織將釣魚信息發送給中國應急管理部和武漢省政府,試圖讓對方「中招」,從而獲取 COVID-19 的相關情報。這次長達至少 3 個月的入侵活動,讓越南黑客組織 APT32 再次進入人們的視野。
  • 誰是地球上最大的網絡監控、偷竊犯?
    愛德華·斯諾登承認:「美國國安局進行各種活動,比如對中國手機企業進行黑客攻擊,以竊取您的簡訊數據。」在美國,涉及該項目的公司高達千家,包括微軟、雅虎、油管、谷歌、思科、蘋果等。根據法案,美國國安局可以通過臉書,威瑞森通信和谷歌等美國公司竊聽(eavesdrop)大量美國境外人員的數字通信。該程序還可以竊取美國人的通訊信息,並且未經許可就可這麼做。白宮、美國情報機構和國會共和黨領導人表示,該計劃對於國家安全是必不可少的,對保護美國盟國至關重要,幾乎不需要修改。
  • 美情報公司稱勒索病毒或由華人黑客撰寫,因軟體「中文地道」
    美情報公司稱勒索病毒或由華人黑客撰寫,因軟體「中文地道」 澎湃新聞 綜合報導 2017-05-30 15:48 來源:
  • 入侵中國長達 3 個月,越南黑客組織欲竊取 COVID-19 情報
    近日,FireEye 發布了一份研究報告,報告稱:為收集 COVID-19(新型冠狀病毒肺炎)的相關情報,至少從 2020 年 1 月至 4 月,越南黑客組織 APT32 針對中國目標開展持續的入侵活動。據悉,黑客組織將釣魚信息發送給中國應急管理部和武漢省政府,試圖讓對方「中招」,從而獲取 COVID-19 的相關情報。
  • 無間道:臺灣間諜大陸往事
    所謂兩扮三親是臺情報機構總結出來滲透策反手法。一扮臺商,二扮娛樂業老鴇,這兩種身份,最容易與特定目標接觸。三親指的是,一親待策反人員妻女、二親特定對象陪酒女,三親美女,對特定對象色誘,圍獵。間諜修成四步曲完成了後,間諜小姐姐便可以出道了。
  • 利用間諜軟體 PegASUS,無需用戶接觸即可竊聽...
    黑客總是有辦法黑進你的 iPhone 。不信你看。來自公民實驗室(Citizen Lab)的研究人員表示,他們發現,有證據表明數十名記者的 iPhone 秘密被間諜軟體攻擊,且這些軟體都是被國家所使用。
  • 無間道:臺灣間諜的大陸往事
    所謂兩扮三親是臺情報機構總結出來滲透策反手法。一扮臺商,二扮娛樂業老鴇,這兩種身份,最容易與特定目標接觸。三親指的是,一親待策反人員妻女、二親特定對象陪酒女,三親美女,對特定對象色誘,圍獵。間諜修成四步曲完成了後,間諜小姐姐便可以出道了。
  • 美媒聲稱中國竊美公民信息大數據 以招募間諜
    ,採用一種高科技策略實現間諜活動的一個傳統目標:招募間諜或獲得關於敵人的更多信息。報導稱,研究人員說,截至目前,為中國政府工作的一批批黑客已經危及美國人事管理局和醫療保險巨頭安塞姆公司的網絡,以及其他一些目標。美國人事管理局掌管著大批現聯邦職員和前職員的數據。維吉尼亞州一家網絡安全企業的情報分析員裡奇·巴傑說:「他們一定在搜索相當多的人員信息。我們懷疑他們在利用這些信息來更多了解把誰定為目標,是通過電子手段還是人員招募(來開展間諜活動)。」
  • 約翰·勒卡雷:我作為間諜最大的弱點是缺乏耐心
    他本人於上世紀五六十年代曾在英國軍情五處(MI5)和軍情六處(MI6)工作這為他的經歷和作品蒙上了一層神秘面紗約翰·勒卡雷據英國廣播公司報導,英國知名間諜小說作家約翰·勒卡雷因患肺炎,於12月12日晚間逝世
  • 美情報公司:肆虐全球的勒索病毒可能是中國人
    美情報公司:肆虐全球的勒索病毒可能是中國人2017-05-31 00:20出處/作者:其他整合編輯:Evelyn責任編輯:huangshihong> 據CNET北京時間5月30日報導,對於前段時間肆虐全球的勒索病毒WannaCry的來源,業內一直是眾說紛紜。
  • 印度軍方渲染中國黑客侵入WhatsApp
    【編譯/觀察者網 周遠方】印度新德裡電視臺(NDTV)網站3月19日報導,印度陸軍在其推特官方帳號發布一則關於中國黑客正利用WhatsApp平臺入侵印度民眾帳號竊取用戶資料的警告,並配有一段英文視頻。,中國黑客利用各種平臺滲透數字世界,WhatsApp成為黑客入侵用戶系統的新渠道,當用戶的WhatsApp群組出現以+86開頭(中國大陸區號)的電話號碼時,就表示黑客可能在群組中竊取你的所有資料。