這兩天,公民實驗室Citizen Lab(簡稱:Citizen Lab)扒掉了一家印度公司的底褲。Citizen Lab的研究員稱其正在進行:「有史以來規模最大的僱傭間諜活動之一。」
BellTroXInfoTech(簡稱:BellTroX)是一家貌不驚人的印度信息技術服務公司,明面上,它扮演著好好先生的角色,是一家服務於醫院、診所、專家證人、獨立從業者和企業等群體的轉錄和聽寫服務提供商。
背地裡,他卻則幹著為客戶提供黑客間諜情報服務的勾當,在長達7年的時間裡對全球超過1萬個電子郵件帳戶進行了入侵。把邪惡的觸手伸向了歐洲的政府官員、巴哈馬的博彩大亨以及美國著名投資機構等群體,其中就包括美國私募股權巨頭KKR和做空機構渾水(Muddy Waters)。
沒錯,那家忙著調查別人家的公司,實際上,它也在被別人「調查」。
(BellTroX公司官網)
「印度無名小IT公司」罪行初現端倪
2017年,一名被釣魚攻擊的記者向Citizen Lab求助,詢問是否可以對不堪其擾的釣魚郵件進行調查。
隨後,Citizen Lab對發來的釣魚連結進行了溯源分析, Citizen Lab很快發現,這很可能是一個「黑客僱傭軍」在全球範圍內發起的黑客入侵活動。
CitizenLab將這一黑客僱傭軍組織標記命名為 「Dark Basin」(黑暗盆地)。
跨越萬裡的郵件 ,一路追溯到印度
在對釣魚連結進行了溯源分析時,Citizen Lab通過技術手段追查到了大量包含相同釣魚連結的URL地址。在這裡,Citizen Lab順利的找到了抽絲剝繭的線頭。
他們發現,在大量的釣魚郵件中,有數百封郵件中的時間戳與印度UTC + 5:30時區的工作時間相吻合,可以加以猜測,這些郵件的源頭可能是印度。
接下來,Citizen Lab又相繼在Dark Basin組織使用的URL縮短服務中發現了幾個與印度相關的名詞:Holi,Rongali和Pochanchi,它們分別是印度宗教中兩個著名的節日,以及音譯的孟加拉數字「55」。
在釣魚郵件的日誌記錄代碼中,有些代碼也以UTC + 5:30記錄了時間戳,日誌文件還顯示Dark Basin似乎使用印度的IP位址進行了一些測試。
這絕非巧合。
畢竟再高超的黑客技術,也難以掩蓋技術背後那些人的生活痕跡。
(Dark Basin使用的URL縮短服務)
有記憶的網際網路,難以清除的蛛絲馬跡
緊接著Citizen Lab繼續順著發現的線索一路查了下去,當他們在印度的一些網站進行信息檢索時再次有了新發現。他們在領英上發現了一家名為BellTroX的公司。該公司僱員的工作職責描述寫的十分耐人尋味,描述中這樣寫道:工作內容包括電子郵件滲透、廣告推銷、企業間諜、聲波發射、提供網絡情報等。
BellTroX公司的僱員們還在社交媒體上發帖讚揚了攻擊技術,並附上了含有Dark Basin相關連結的截圖。
(BellTroX公司員工在社交媒體中發布的攻擊技術討論貼)
就這樣經過一步步推敲,Citizen Lab最終捋清了Dark Basin與BellTroX之間千絲萬縷的聯繫,BellTroX公司就是操縱Dark Basin組織的幕後黑手!
大肆兜售黑客間諜服務,廣撒網「監視全球」
在上文中提到, Citizen Lab在分析求助者發來的釣魚郵件時,Citizen Lab通過技術手段追查到了大量包含相同釣魚連結的URL地址,這才得以一步步追蹤到這個神秘的黑客僱傭組織。
而這正是得益於Dark Basin使用的一種用於掩蓋釣魚網站的技術——URL縮短器。
URL縮短器,顧名思義就是把網址變短的工具。
它是一個網絡站點,可以從一個長的URL中生成一個短的URL或者網頁地址,以方便記憶和輸入。通過URL縮短服務來維護兩個URL之間的對應關係,並且可以在人們輸入較短的URL的時候重定向到長的URL頁面上。
例如,如果你需要頻繁訪問在電子郵件消息中輸入一個URL,或者通過電話來說這個網址,那麼長的統一資源定位符就更容易拼寫錯誤或者理解錯誤。網址縮短器就是專為解決這個問題而生的神器。
當然,任何技術都擁有其「雙刃劍效應」。黑客們就抓住了網址縮短器的弊端,偽造出了更加真實的釣魚頁面。
(CitizenLab觀察到的自定義URL縮短器示例)
言歸正傳, 通過這個發現,Citizen Lab觀察到Dark Basin使用的惡意URL縮短程序都會運行一個名為Phurl的開源URL縮短軟體。再對該軟體的代碼分析,就輕易的追蹤到了Dark Basin運營的28種獨特的URL縮短服務,進而枚舉出了包含相同釣魚軟體的27,591個URL地址。
在分別聯繫部分URL目標所屬的個人或機構後,Citizen Lab發現Dark Basin嘗試攻擊的目標十分廣泛且涉及多個行業。
其中最受關注的行業包括全球多家銀行和金融業務公司,律師事務所,能源行業企業和政府機構。其中不乏多個政府官員、行業知名人士、律師、投資者與媒體記者。其業務範圍之廣,稱之「正監視全球」也毫不為過。
釣魚郵件是黑客組織最擅長利用的重要手段
紐約做空公司Safkhet Capital 正是 2017-2019 年 BellTroX 瞄準的 17 家投資公司之一,在路透社對 Safkhet Capital 創始人 Fahmi Quadir 的採訪中,她表示,在基金啟動不久後,自己就注意到了電子郵件數據的激增。最初「似乎並不是惡意郵件,只是佔星術之類的內容。然後變成色情內容。」
最終,黑客們又加大了攻擊力度,偽裝成同事、家人或其他做空機構,還有的郵件則偽裝成了Facebook登錄請求或色情網站退訂郵件。
我們也不難看出,釣魚郵件依舊是Dark Basin,也是同類黑客組織的重要攻擊方式。
網絡犯罪服務正變得更廉價,更容易獲取
一家聖地牙哥私家偵探公司在接受採訪時表示,他們就曾經收到號稱可以提供「數據滲透」和「電子郵件滲透」服務的來自印度黑客廣告,其中有一個銷售還自稱是BellTroX的前僱員。
而在全球範圍內,有十餘家歐美私家偵探都表示曾經收到過類似廣告。
DarkBasin的成千上萬個目標表明,這些攻擊目標遍布各國政治領域和全球商業公司,以及個人。甚至就連Citizen Lab也無法確認是誰在僱傭Dark Basin從事黑客間諜活動,事實上,網絡犯罪服務正在變得更便宜,也更容易獲取,任何國家或私人機構都可以輕易從地下暗網市場上購買此類網絡犯罪服務。
另一安全巨頭趨勢科技在其最新發布的暗網調查白皮書中也曾提到,在暗網中銷售的網絡犯罪服務日益常見,網絡犯罪服務價格也有所下降。
2020年,美國信用卡的價格約為1美元,而2015年為20美元。俄羅斯的殭屍網絡也變得相對便宜,價格約為200美元。通用殭屍網絡每天的費用約為5美元,而開發人員只需100美元即可獲得它們。北美市場的加密服務已從1,000美元降至平均每月100美元,便宜的服務價格為20美元。
商業黑客活動興起,社會信息安全再亮警燈
儘管在Citizen Lab公布的數據中我們能夠看到,有大量的攻擊目標是與商業相關的投資機構、金融服務機構,以及大量針對個人的攻擊,不難看出是與商業竊密,或是個人糾紛相關。
但那些針對政府政要高官、選民,以及媒體記者的釣魚攻擊,背後明顯隱藏著更大的野心。或許下一次因僱傭黑客幹預大選導致的政黨衝突,因黑客操控輿論而引發的國際形勢動蕩,都與其難逃干係。
事實上,無論這些網絡黑客僱傭軍受僱於誰,商業黑客行為已經成為了一個全球性的安全問題。這樣大規模的商業黑客活動一旦興起,必將會給社會安全帶來難以估量的後果。
文章來源:mgclouds