史上最大的僱傭間諜活動之一?不知名印度 IT 工作室 7 年入侵上萬電子信箱

作者 | 發布日期 2020 年 06 月 13 日 12:00 | 分類 網路 , 資訊安全 Telegram share ! follow us in feedly


這是有史以​​來最大的僱傭間諜活動之一。近日,路透社獨家報導稱,一家名為「BellTroX InfoTech Services」(BellTroX 資訊科技服務)的印度公司為用戶提供駭客服務,7 年內監視了超過 1 萬個電子郵件帳戶,多國政要、行業大亨、社會團體和知名機構都成為其攻擊對象。

BellTroX 是誰?

位於新德里的 BellTroX 並不是一家知名企業。

從 LinkedIn 可知,BellTroX 成立於 2011 年,是醫院、診所、專家證人、獨立從業者和企業的轉錄和聽寫服務提供商,和飛利浦、奧林巴斯等品牌建立了合作關係。

在簡介中,發現到 BellTroX 的一個修飾詞 one of the World’s premier(行業領軍企業之一),據稱,其技術團隊有多年的聽寫經驗,在醫療、法律和商業轉錄領域受過專業的訓練,旨在透過與客戶建立長期的合作關係,提供高品質、低成本的解決方案。

但按照該公司 3 名前僱員和一名外部研究人員的說法以及網路上的證據,這家公司並不像簡介中的那麼簡單──BellTroX 為用戶提供駭客服務,主要瞄準了歐洲政府官員、巴哈馬賭博業大亨和美國知名投資機構(比如私募股權巨頭 KKR 和曾用 20 多天讓一家公司退市的著名做空機構渾水 Muddy Waters)。

對此,渾水創始人 Carson Block 表示:

得知我們很可能被 BellTroX 的客戶當做攻擊對象,我感到失望,但並不驚訝。

另外幾名知情人士向路透社透露,美國執法部門已經開始調查 BellTroX。

量產惡意郵件的工作室

那麼,這樣一家「掛羊頭賣狗肉」的僱傭駭客公司,究竟是如何運作的呢?

據了解,BellTroX 的辦公室其實是在一家商店樓上的一個小房間,一封封惡意電子郵件就是從這個工作室發出去的。有些訊息會模仿攻擊對象的同事或親戚發送,有些則是 Facebook 登入請求或者退訂色情網站的提示。

在路透社的採訪中,紐約做空公司 Safkhet Capital 創始人 Fahmi Quadir 表示:

啟動基金後不久的 2018 年初,電子郵件數量就開始激增。一開始的郵件和星座有關,看上去不像是惡意郵件,後來慢慢就開始升級到色情了。後來,郵件品質有所提高,駭客開始模仿同事、家人或其他賣空機構。

事實上,Safkhet Capital 是 2017-2019 年 BellTroX 瞄準的 17 家投資公司之一。同時,一些美國宣傳團體也不能倖免──比如兩個支持網路中立的組織「Free Press」(新聞自由)和「Fight for the Future」(為未來而戰)。

對此,Fight for the Future 組織副主任 Evan Greer 表示:

當公司或政客僱傭這樣的駭客組織來瞄準民間團體時,我們的民主進程也遭到了破壞。

同時路透社報導稱,之前從駭客使用的匿名線上服務提供商處獲取了大量數據,這些數據是一個包含了目標群體和具體時間的「目標列表」。

路透社透過對目標群體收到的電子郵件進行審查發現,BellTroX 在 2013 年至 2020 年間發送了數萬條惡意訊息,旨在誘使受害者放棄密碼。

據了解,路透社在「目標列表」裡看到了南非法官、墨西哥政治人物、法國律師、美國環保組織。正如網路監督組織 Citizen Lab 研究員 John Scott-Railton 所說:

僱傭駭客雖然沒有由政府支持的間諜團體那麼受關注,但不得不承認「網路僱傭軍」的服務已經輻射到各個領域。我們的調查發現,沒有任何部門可以倖免。

根據「目標列表」,在 BellTroX 瞄準的數千人中,有幾十個人未回覆郵件或拒絕發表評論,究竟有多少人上鉤目前也難以獲知。

陷入「黑暗盆地」

與此同時,就這家公司潛在的駭客行為,相關監督機構也出具了詳細的報告進行佐證。

值得一提的是,做為網路監督組織,Citizen Lab 研究人員用兩年多的時間摸索、釐清了駭客組織的內幕,終於在當地時間 2020 年 6 月 9 日發布了相關的重量級報告。

報告指出,「黑暗盆地」(Dark Ba​​sin)是一個僱傭駭客組織,目標是六大洲的數千名個人(如高級政客、政府檢察官、企業 CEO、新聞工作者和人權維護者)和數百家機構(包括非營利組織和對沖基金等行業),Citizen Lab 也將其定位為網路釣魚幕後組織。

「黑暗盆地」廣泛針對美國的非營利組織,其中就包括從事名為 #ExxonKnew 活動的非營利組織,該組織聲稱世界最大的非政府石油天然氣生產商埃克森美孚隱藏了數十年的氣候變化資訊。

Citizen Lab 研究員 John Scott-Railton 曾表示:

這是有史以​​來最大的僱傭間諜活動之一。

值得一提的是,報告指出,Citizen Lab 高度相信 BellTroX 有參與上述組織的間諜活動中。

具體來講,Citizen Lab 確認部分 BellTroX 員工在測試網址縮寫服務時使用個人文檔(比如個人簡歷)做為誘餌內容,這與「黑暗盆地」不謀而合。

如下圖所示,LinkedIn 上該公司某一員工的工作職責十分耐人尋味,主要包括了電子郵件滲透、廣告推銷、企業間諜、聲波發射、提供網路情報等。

另外,他們還在社交媒體上發文讚揚攻擊技術,並附上含有「黑暗盆地」相關連結的截圖。

令人生疑的還有一點,BellTroX 及其員工的相關網頁有「Ethical Hacking」(道德駭客)與「Certified Ethical Hacker」(認證道德駭客)的字樣,這被 Citizen Lab 視為是一種委婉的線上業務推廣。

此外,當地時間 2020 年 6 月 7 日,BellTrox 網站開始提供錯誤資訊,一些可以表明 BellTroX 與駭客行動有關的貼文和內容也已被刪除。

報告也曝出了有關 BellTroX 所有者兼董事 Sumit Gupta 的重要資訊。

2015 年,美國司法部因僱傭駭客計畫同時控告了幾名美國私人調查員和一名印度人,而這名印度人正是 Sumit Gupta。美國司法部指出,Sumit Gupta 使用了別名 Sumit Vishnoi。雖然 Sumit Gupta 並未有因控告被捕的紀錄,但有人使用 Sumit Vishnoi 的名字在網路上發文提到了 BellTroX 公司。

不難看出,上述消息也在很大程度上表明了 Sumit Gupta 與駭客組織千絲萬縷的關係。

實際上,獲悉相關消息後,路透社也聯繫了 Sumit Gupta,但 Sumit Gupta 拒絕透露客戶資訊,同時也否認存在任何不當行為:

我沒有幫助客戶訪問任何東西,他們向我提供了詳細資訊後,我只是幫他們下載郵件。我並不知道一些細節是從何獲取的,我只是在為客戶提供技術支持罷了。

不過,Citizen Lab 的報告顯示,BellTrox 及其員工的 LinkedIn 頁面有數百個企業情報人員和各領域私人調查員的背書(註:LinkedIn 有一個 endorsement 功能,類似於對企業、個人技能和專業知識的認可),其中就包括:

  • 一位加拿大政府官員。
  • 一位美國聯邦貿易委員會調查員(美國海關和邊境巡邏隊前約聘調查員)。
  • 眾多美國各州和地方現任執法官員。
  • 眾多私人偵探(許多曾在聯邦調查局、警察局、軍隊及其他政府部門任職)。

上述為該公司及其員工背書的群體並不一定就和 BellTrox 簽訂了某種合約,但來自美國知名偵探機構 Bulldog Investigations 的 Bart Santos 向路透社表示,之前印度的駭客服務廣告不請自來,其中就有一則廣告是自稱 BellTroX 前僱員的人發的,主動提出了「數據滲透」和「電子郵件滲透」服務。

實際上,眾多偵探、調查員和一家鮮為人知的 IT 公司有較為密切的關係,也側面反映出 BellTroX 絕不只是一家「全球領先的轉錄服務提供商」。

(本文由 雷鋒網 授權轉載;首圖來源:pixabay

延伸閱讀:

關鍵字: , ,