Een elf maanden durende evaluatie door een beveiligingsleverancier van niet-openbare gegevens verkregen door onderzoeksjournalisten van Reuters heeft eerdere rapporten bevestigd waarin een Indiase hack-for-hire-groep werd gekoppeld aan talloze – soms ontwrichtende – incidenten van cyberspionage en surveillance tegen individuen en entiteiten over de hele wereld.
De schimmige groep uit New Delhi, bekend als Appin, bestaat niet meer – althans in zijn oorspronkelijke vorm of merknaam. Maar vanaf 2009 hackten de agenten van Appin op brutale wijze – en soms op onhandige wijze – computers van bedrijven en bedrijfsleiders, politici, waardevolle individuen en regerings- en militaire functionarissen over de hele wereld. En de leden blijven tot op de dag van vandaag actief in spin-offs.
Hacken op mondiale schaal
Tot de klantenkring van het bedrijf behoorden privédetectives, rechercheurs, overheidsorganisaties, zakelijke klanten en vaak entiteiten die betrokken waren bij grote rechtszaken uit de VS, het VK, Israël, India, Zwitserland en verschillende andere landen.
Journalisten bij Reuters die de activiteiten van Appin onderzochten heeft gedetailleerde informatie verzameld over zijn activiteiten en klanten uit meerdere bronnen, waaronder logs die zijn verbonden met een Appin-site genaamd “MyCommando”. Appin-klanten gebruikten de site om diensten te bestellen uit wat Reuters omschreef als een menu met opties voor het inbreken in e-mails, telefoons en computers van beoogde entiteiten.
Uit het onderzoek van Reuters bleek dat Appin in de loop der jaren betrokken was bij een breed scala aan, soms eerder gerapporteerde, hackincidenten. Deze omvatten alles, van het lekken van privé-e-mails die een lucratieve casinodeal voor een kleine Indiaanse stam in New York ontspoorden, tot een inbraak waarbij een in Zürich gevestigde adviseur betrokken was die probeerde het WK voetbal van 2012 naar Australië te halen. Andere incidenten die Reuters in zijn rapport vermeldde, hadden betrekking op de Maleisische politicus Mohamed Azmin Ali, de Russische ondernemer Boris Berezovsky, een kunsthandelaar uit New York, een Franse diamanterfgename en een inbraak bij het Noorse telecommunicatiebedrijf Telenor die resulteerde in de diefstal van 60,000 e-mails.
Eerdere onderzoeken, die Reuters in zijn rapport noemde, hebben Appin in verband gebracht met een aantal van deze incidenten – zoals dat bij Telenor en dat waarbij de in Zürich gevestigde consultant betrokken was.
Bijna overtuigend bewijs
Dergelijke verbanden werden verder bevestigd door een onderzoek in opdracht van Reuters beoordeling van de gegevens door SentinelOne. De uitgebreide analyse door het cyberbeveiligingsbedrijf van de gegevens die Reuters-journalisten verzamelden, liet vrijwel overtuigende verbanden zien tussen Appin en talloze incidenten met gegevensdiefstal. Deze omvatten diefstal van e-mail en andere gegevens door Appin van Pakistaanse en Chinese overheidsfunctionarissen. SentinelOne vond ook bewijs dat Appin defacement-aanvallen uitvoerde op sites die verband houden met de religieuze Sikh-minderheidsgemeenschap in India en dat er ten minste één verzoek was om een Gmail-account te hacken van een Sikh-persoon die ervan verdacht werd een terrorist te zijn.
“De huidige staat van de organisatie verschilt aanzienlijk van de status van tien jaar geleden”, zegt Tom Hegel, hoofdonderzoeker op het gebied van dreigingen bij SentinelLabs. “De oorspronkelijke entiteit, ‘Appin’, die in ons onderzoek naar voren kwam, bestaat niet meer, maar kan worden beschouwd als de voorloper waaruit verschillende hedendaagse hack-for-hire-bedrijven zijn voortgekomen”, zegt hij.
Factoren zoals rebranding, personeelswisselingen en de wijdverbreide verspreiding van vaardigheden dragen ertoe bij dat Appin wordt erkend als de baanbrekende hack-for-hire-groep in India, zegt hij. Veel van de voormalige werknemers van het bedrijf hebben soortgelijke diensten gecreëerd die momenteel operationeel zijn.
Het rapport van Reuters en de recensie van SentinelOne hebben nieuw licht geworpen op de schimmige wereld van hack-for-hire-diensten – een marktniche die anderen ook met enige bezorgdheid hebben benadrukt. A rapport van Google vorig jaar benadrukt de relatief productieve beschikbaarheid van deze diensten in landen als India, Rusland en de Verenigde Arabische Emiraten. SentinelOne had vorig jaar zelf gerapporteerd over zo'n groep Nietig Balaur, opererend vanuit Rusland.
Infrastructuursourcing
Tijdens de beoordeling van de door Reuters verkregen gegevens konden onderzoekers van SentinelOne de infrastructuur samenstellen die Appin-agenten hadden samengesteld om Operatie Hangover – zoals een spionageoperatie op Telenor later werd genoemd – en andere campagnes.
Uit het onderzoek van SentinelOne bleek dat Appin vaak een externe externe contractant gebruikte om de infrastructuur te verwerven en te beheren die het gebruikte bij het uitvoeren van aanvallen namens zijn klanten. Appin-agenten zouden de contractant in principe vragen om servers met specifieke technische vereisten aan te schaffen. De soorten servers die de contractant voor Appin zou aanschaffen, waren onder meer die voor het opslaan van geëxfiltreerde gegevens; commando- en controleservers, servers die webpagina's hosten voor phishing met inloggegevens en servers die sites hosten die zijn ontworpen om specifiek gerichte slachtoffers te lokken. Eén zo'n site had bijvoorbeeld een islam-jihadistisch gerelateerd thema dat bezoekers naar een andere met malware doorspekte website leidde.
De leidinggevenden van Appin gebruikten interne programmeurs en het in Californië gevestigde freelance portaal Elance – nu Upwork genoemd – om programmeurs te vinden die malware en exploits konden coderen. Een USB-propagatortool die de hack-for-hire-groep gebruikte bij zijn aanval op Telenor was bijvoorbeeld het werk van zo'n freelancer van Elance. In zijn vacature uit 2009 beschreef Appin de tool waarnaar hij op zoek was een ‘geavanceerd hulpprogramma voor gegevensback-up’. Het bedrijf betaalde $ 500 voor het product.
Via andere vacatures op Elance zocht en verwierf Appin verschillende andere tools, waaronder een audio-opnametool voor Windows-systemen, een code-obfuscator voor CC en Visual C++ en exploits voor Microsoft Office en IE. Sommige advertenties waren brutaal – zoals die voor de ontwikkeling van exploits – of het aanpassen van bestaande exploits – voor verschillende kwetsbaarheden in Office, Adobe en browsers zoals Internet Explore en Firefox. De nauwelijks verborgen kwade bedoelingen en de lage betalingsaanbiedingen van Appin – bijvoorbeeld $ 1,000 per maand voor twee exploits per maand – hadden er vaak toe geleid dat freelancers de vacatures van het bedrijf afwezen, merkte SentinelOne op.
Appin heeft zijn toolkit ook van anderen betrokken, waaronder bedrijven die particuliere spyware, stalkerware en exploitdiensten verkopen. In sommige gevallen werd het zelfs reseller voor deze producten en diensten.
Ongecompliceerd maar effectief
"Aanstootgevende beveiligingsdiensten die ruim tien jaar geleden aan klanten werden geleverd, omvatten gegevensdiefstal in vele vormen van technologie, intern vaak 'interceptiediensten' genoemd", aldus SentinelOne. “Deze omvatten keylogging, phishing met accountgegevens, website-defacement en SEO-manipulatie/-desinformatie.”
Appin zou ook on-demand tegemoet kunnen komen aan verzoeken van klanten, zoals het kraken van wachtwoorden uit gestolen documenten.
In de onderzochte periode vertoonde de hack-for-hire-industrie in de particuliere sector van India een opmerkelijke mate van creativiteit, zij het met een zeker technisch rudiment op dat moment, merkt Hegel op.
“In deze tijd opereerde de sector ondernemend, waarbij vaak werd gekozen voor kosteneffectieve en ongecompliceerde offensieve capaciteiten”, zegt hij. “Ondanks de aanzienlijke omvang van hun operaties worden deze aanvallers over het algemeen niet geclassificeerd als zeer geavanceerd, vooral niet in vergelijking met gevestigde geavanceerde persistente dreigingen (APT’s) of criminele organisaties”, zegt hij.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/attacks-breaches/hack-for-hire-group-sprawling-web-global-cyberattacks
- : heeft
- :niet
- 000
- 2012
- 60
- 7
- a
- in staat
- accommoderen
- Account
- verwerven
- verworven
- over
- actieve
- adobe
- advertenties
- vergevorderd
- tegen
- geleden
- ook
- Amerikaans
- an
- analyse
- en
- Nog een
- Arabisch
- Arabische Emiraten
- ZIJN
- rond
- Kunst
- AS
- vragen
- gemonteerd
- geassocieerd
- At
- aanvallen
- Aanvallen
- proberen
- audio
- Australië
- beschikbaarheid
- backup
- Eigenlijk
- gevechten
- BE
- werd
- namens
- achter
- wezen
- behorende
- tussen
- boris
- branding
- Breaking
- brengen
- browsers
- bedrijfsdeskundigen
- ondernemingen
- maar
- by
- C + +
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- Campagnes
- CAN
- mogelijkheden
- dragen
- vervoer
- gevallen
- Casino
- zeker
- Chinese
- geklasseerd
- klant
- cliënteel
- klanten
- code
- gemeenschap
- afstand
- vergeleken
- computers
- Bezorgdheid
- gekoppeld blijven
- aanzienlijk
- consultant
- Aannemer
- bijdragen
- onder controle te houden
- Bedrijfs-
- kostenefficient
- landen
- kraken
- en je merk te creëren
- creativiteit
- IDENTIFICATIE
- Crimineel
- beker
- Actueel
- Huidige toestand
- Op dit moment
- Klanten
- maatwerk
- cyber
- cyberaanvallen
- Cybersecurity
- gegevens
- dag
- transactie
- dealer
- decennium
- Mate
- beschreven
- ontworpen
- Niettegenstaande
- gedetailleerd
- Ontwikkeling
- Diamond
- weergegeven
- verstorend
- documenten
- nagesynchroniseerde
- gedurende
- e-mails
- voortgekomen
- emiraten
- Werknemer
- medewerkers
- bezig
- bedrijven
- entiteiten
- entiteit
- Ondernemer
- entrepreneurial
- Tijdperk
- spionage
- Zelfs
- alles
- bewijzen
- voorbeeld
- leidinggevende
- bestaand
- bestaat
- Exploiteren
- exploits
- Verken
- uitgelicht
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- Firefox
- Stevig
- Voor
- formulier
- Voormalig
- formulieren
- gevonden
- freelance
- Frans
- vers
- oppompen van
- verder
- algemeen
- Globaal
- weg
- Kopen Google Reviews
- Overheid
- Ambtenaren
- Groep
- houwen
- gehackt
- hacking
- HAD
- Hebben
- he
- Gemarkeerd
- highlights
- zeer
- gehost
- HTTPS
- ie
- in
- inclusief
- Inclusief
- Indië
- Indian
- individueel
- individuen
- -industrie
- informatie
- Infrastructuur
- eerste
- instantie
- aandachtig
- inwendig
- Internet
- in
- onderzoek
- onderzoeken
- onderzoekend
- Onderzoekers
- betrokken zijn
- waarbij
- Israël
- IT
- HAAR
- zelf
- Jobomschrijving:
- Journalisten
- jpg
- bekend
- Achternaam*
- Afgelopen jaar
- later
- minst
- LED
- licht
- als
- links
- Procesvoering
- lang
- langer
- op zoek
- Laag
- winstgevend
- groot
- malware
- beheer
- manier
- veel
- Markt
- Leden
- vermeld
- Menu
- Microsoft
- Leger
- minderheid
- Mohamed
- Maand
- maandelijks
- meervoudig
- inheemse
- New
- New York
- nis
- geen
- Norwegian
- Opmerkingen
- opmerkelijk
- nu
- vele
- verkrijgen
- verkregen
- of
- aanvallend
- Aanbod
- Kantoor
- ambtenaren
- vaak
- on
- On-Demand
- EEN
- bediend
- werkzaam
- operatie
- operationele
- Operations
- Opties
- or
- bestellen
- organisatie
- organisaties
- origineel
- Overige
- Overig
- onze
- uit
- buiten
- over
- paginas
- betaald
- bijzonder
- vooral
- wachtwoorden
- betaling
- periode
- Phishing
- telefoons
- stuk
- baanbrekende
- Plato
- Plato gegevensintelligentie
- PlatoData
- politicus
- Politici
- Portaal
- vorig
- die eerder
- Principal
- privaat
- prive-sector
- Product
- Producten
- Programmeurs
- vruchtbaar
- mits
- reeks
- rebranding
- erkend
- opname
- verwezen
- beschouwd
- verwant
- relatief
- blijven
- verslag
- gemeld
- Rapporten
- te vragen
- verzoeken
- Voorwaarden
- onderzoek
- onderzoeker
- onderzoekers
- Reuters
- beoordelen
- Rusland
- Russisch
- s
- Zei
- zegt
- Scale
- sector
- veiligheid
- binnen XNUMX minuten
- seo
- Servers
- Diensten
- verscheidene
- vertoonde
- aanzienlijk
- gelijk
- website
- Locaties
- vaardigheden
- Klein
- Voetbal
- sommige
- soms
- geraffineerd
- gezocht
- source
- bronnen
- specifiek
- specifiek
- gespartel
- spyware
- Start
- Land
- Status
- gestolen
- bewaartemperatuur
- dergelijk
- toezicht
- Zwitserland
- Systems
- doelgerichte
- Technisch
- Technologie
- telecommunicatie
- terrorist
- dat
- De
- diefstal
- hun
- thema
- Deze
- van derden
- dit
- die
- bedreiging
- bedreigingen
- Gebonden
- niet de tijd of
- naar
- samen
- Tom
- tools
- toolkit
- tools
- overgangen
- Stam
- twee
- types
- Uk
- voor
- United
- Verenigde Arabische
- Verenigde Arabische Emiraten
- us
- usb
- gebruikt
- gebruik
- utility
- divers
- slachtoffers
- bezoekers
- visuele
- kwetsbaarheden
- was
- web
- Website
- GOED
- waren
- Wat
- wanneer
- welke
- WIE
- breed
- Grote range
- wijd verspreid
- ruiten
- Met
- Mijn werk
- wereld
- World Cup
- wereldwijd
- zou
- jaar
- jaar
- york
- zephyrnet
- In Zürich gevestigd