En sikkerhetsleverandørs 11 måneder lange gjennomgang av ikke-offentlige data innhentet av undersøkende journalister hos Reuters har bekreftet tidligere rapporter som knytter en indisk hack-for-hire-gruppe til en rekke – noen ganger forstyrrende – hendelser med cyberspionasje og overvåking mot enkeltpersoner og enheter over hele verden.
Den skyggefulle New Delhi-baserte gruppen kjent som Appin eksisterer ikke lenger - i det minste i sin opprinnelige form eller merkevarebygging. Men i flere år fra rundt 2009 hacket Appins operatører frekt - og noen ganger klønete - inn datamaskiner som tilhører bedrifter og bedriftsledere, politikere, enkeltpersoner med høy verdi og offentlige og militære tjenestemenn over hele verden. Og medlemmene forblir aktive i spinoffs frem til i dag.
Hacking i global skala
Firmaets klientell inkluderte privatetterforskere, detektiver, offentlige organisasjoner, bedriftskunder og ofte enheter involvert i store rettssaker fra USA, Storbritannia, Israel, India, Sveits og flere andre land.
Journalister kl Reuters som undersøkte Appins aktiviteter samlet inn detaljert informasjon om driften og klientene fra flere kilder, inkludert logger koblet til et Appin-nettsted kalt "MyCommando". Appin-klienter brukte nettstedet til å bestille tjenester fra det Reuters beskrev som en meny med alternativer for å bryte seg inn i e-poster, telefoner og datamaskiner til målrettede enheter.
Reuters-undersøkelsen viste at Appin knyttet til et bredt spekter av noen ganger tidligere rapporterte hacking-hendelser gjennom årene. Disse inkluderte alt fra lekkasje av private e-poster som avsporet en lukrativ kasinoavtale for en liten indianerstamme i New York, til en inntrenging som involverte en Zürich-basert konsulent som forsøkte å bringe fotball-VM i 2012 til Australia. Andre hendelser som Reuters omtalte i sin rapport, involverte den malaysiske politikeren Mohamed Azmin Ali, den russiske gründeren Boris Berezovsky, en kunsthandler i New York, en fransk diamantarving, og et innbrudd hos det norske telekommunikasjonsfirmaet Telenor som resulterte i tyveri av 60,000 XNUMX e-poster.
Tidligere undersøkelser, som Reuters nevnte i sin rapport, har knyttet Appin til noen av disse hendelsene – som den hos Telenor og den som involverer den Zürich-baserte konsulenten.
Nær avgjørende bevis
Slike koblinger ble ytterligere bekreftet av et Reuters-oppdrag gjennomgang av dataene av SentinelOne. Nettsikkerhetsfirmaets uttømmende analyse av data som Reuters-journalister samlet inn, viste nesten avgjørende koblinger mellom Appin og en rekke datatyverihendelser. Disse inkluderte tyveri av e-post og andre data fra Appin fra pakistanske og kinesiske myndighetspersoner. SentinelOne fant også bevis på at Appin utførte tilintetgjørelsesangrep på nettsteder knyttet til sikh-religiøse minoritetssamfunn i India og på minst én forespørsel om å hacke seg inn på en Gmail-konto som tilhører en sikh-person mistenkt for å være terrorist.
"Organisasjonens nåværende tilstand er vesentlig forskjellig fra statusen for ti år siden," sier Tom Hegel, ledende trusselforsker ved SentinelLabs. "Den opprinnelige enheten, 'Appin', omtalt i vår forskning, eksisterer ikke lenger, men kan betraktes som stamfaderen som flere nåværende hack-for-hire-bedrifter har dukket opp fra," sier han.
Faktorer som rebranding, ansattes overganger og den utbredte spredningen av ferdigheter bidrar til at Appin blir anerkjent som den banebrytende hack-for-hire-gruppen i India, sier han. Mange av selskapets tidligere ansatte har laget lignende tjenester som i dag er operative.
Reuters' rapport og SentinelOnes anmeldelse har kastet nytt lys på den skyggefulle verdenen av hack-for-hire-tjenester - en markedsnisje som andre også har fremhevet med en viss bekymring. EN rapport fra Google i fjor fremhever den relativt produktive tilgjengeligheten av disse tjenestene i land som India, Russland og De forente arabiske emirater. SentinelOne selv hadde rapportert i fjor om en slik gruppe kalt Void Balaur, opererer fra Russland.
Infrastrukturinnkjøp
Under gjennomgangen av Reuters-innhentede data, var forskere ved SentinelOne i stand til å sette sammen infrastrukturen som Appin-operatørene satt sammen for å utføre Operasjon Hangover — som en spionasjeaksjon på Telenor senere ble kalt — og andre kampanjer.
SentinelOnes gjennomgang viste at Appin ofte bruker en tredjeparts ekstern kontraktør for å anskaffe og administrere infrastrukturen den brukte til å utføre angrep på vegne av kundene sine. Appin-operatører vil i utgangspunktet be entreprenøren om å anskaffe servere med spesifikke tekniske krav. Servertypene kontraktøren ville skaffe til Appin inkluderte de for lagring av eksfiltrerte data; kommando- og kontrollservere, de som var vert for nettsider for phishing med legitimasjon og servere som var vert for nettsteder designet for å lokke spesifikt målrettede ofre. Et slikt nettsted hadde for eksempel et islam-jihadistisk tema som førte besøkende til et annet nettsted med skadelig programvare.
Appin-ledere brukte interne programmerere og den California-baserte frilansportalen Elance – nå kalt Upwork – for å finne programmerere til å kode skadevare og utnyttelser. Et USB-propagatorverktøy som hack-for-hire-gruppen brukte i sitt angrep på Telenor for eksempel, var arbeidet til en slik Elance-frilanser. I sin stillingsannonse fra 2009, hadde Appin beskrevet verktøyet det var på utkikk etter som et "avansert datasikkerhetsverktøy." Selskapet betalte 500 dollar for produktet.
Via andre stillingsannonser på Elance søkte og skaffet Appin forskjellige andre verktøy, inkludert et lydopptaksverktøy for Windows-systemer, en kodeobfuscator for CC og Visual C++ og utnyttelser for Microsoft Office og IE. Noen av annonsene var frekke – som en for utvikling av utnyttelser – eller tilpasning av eksisterende utnyttelser – for ulike sårbarheter i Office, Adobe og nettlesere som Internet Explore og Firefox. Den knapt skjulte ondsinnede hensikten og tilbudene med lav betaling fra Appin - for eksempel $ 1,000 månedlig for to bedrifter i måneden - resulterte ofte i at frilansere avviste selskapets jobbtilbud, observerte SentinelOne.
Appin hentet også verktøysettet sitt fra andre, inkludert de som selger privat spyware, stalkerware og utnyttelsestjenester. I noen tilfeller ble det til og med en forhandler for disse produktene og tjenestene.
Usofistikert, men effektivt
"Offensive sikkerhetstjenester gitt til kunder for godt over et tiår siden, inkluderte datatyveri på tvers av mange former for teknologi, ofte internt referert til som "avlyttingstjenester," sa SentinelOne. "Disse inkluderte tastelogging, phishing av kontolegitimasjonsinformasjon, skade på nettstedet og SEO-manipulasjon/desinformasjon."
Appin vil også imøtekomme klientforespørsler som å knekke passord fra stjålne dokumenter, på forespørsel.
I perioden under undersøkelsen viste hack-for-hire-industrien i privat sektor i India en bemerkelsesverdig grad av kreativitet, om enn med et visst teknisk rudiment på det bestemte tidspunktet, bemerker Hegel.
"I løpet av denne epoken opererte sektoren på en entreprenørisk måte, og valgte ofte kostnadseffektive og ukompliserte offensive evner," sier han. "Til tross for det betydelige omfanget av operasjonene deres, er disse angriperne generelt sett ikke klassifisert som svært sofistikerte, spesielt sammenlignet med veletablerte avanserte vedvarende trusler (APT) eller kriminelle organisasjoner," sier han.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/attacks-breaches/hack-for-hire-group-sprawling-web-global-cyberattacks
- : har
- :ikke
- 000
- 2012
- 60
- 7
- a
- I stand
- imøtekomme
- Logg inn
- erverve
- ervervet
- tvers
- aktiv
- Adobe
- annonser
- avansert
- mot
- siden
- også
- amerikansk
- an
- analyse
- og
- En annen
- Arab
- Arabiske Emirater
- ER
- rundt
- Kunst
- AS
- spør
- montert
- assosiert
- At
- angripe
- Angrep
- forsøker
- lyd
- Australia
- tilgjengelighet
- Backup
- I utgangspunktet
- kamper
- BE
- ble
- vegne
- bak
- være
- tilhørighet
- mellom
- Boris
- branding
- Breaking
- bringe
- nettlesere
- virksomhet
- bedrifter
- men
- by
- C + +
- som heter
- Kampanjer
- CAN
- evner
- bære
- bærer
- saker
- Kasino
- viss
- Kinesisk
- klassifisert
- kunde
- klientell
- klienter
- kode
- samfunnet
- Selskapet
- sammenlignet
- datamaskiner
- Bekymring
- tilkoblet
- betydelig
- konsulent
- Entreprenør
- bidra
- kontroll
- Bedriftens
- kostnadseffektiv
- land
- cracking
- skape
- kreativitet
- KREDENSISJON
- Criminal
- kopp
- Gjeldende
- Nåværende situasjon
- I dag
- Kunder
- tilpasning
- cyber
- cyberattacks
- Cybersecurity
- dato
- dag
- avtale
- forhandler
- tiår
- Grad
- beskrevet
- designet
- Til tross for
- detaljert
- Utvikling
- Diamant
- vises
- forstyrrende
- dokumenter
- dubbet
- under
- emalje
- e-post
- dukket
- emiratene
- Ansatt
- ansatte
- engasjert
- bedrifter
- enheter
- enhet
- Gründer
- gründer
- Era
- spionasje
- Selv
- alt
- bevis
- eksempel
- ledere
- eksisterende
- finnes
- Exploit
- exploits
- utforske
- kjennetegnet
- Finn
- Firefox
- Firm
- Til
- skjema
- Tidligere
- skjemaer
- funnet
- freelance
- Fransk
- fersk
- fra
- videre
- generelt
- Global
- borte
- Regjeringen
- Embetsmenn
- Gruppe
- hack
- hacket
- hacking
- HAD
- Ha
- he
- Fremhevet
- striper
- svært
- vert
- HTTPS
- ie
- in
- inkludert
- Inkludert
- india
- indisk
- individuelt
- individer
- industri
- informasjon
- Infrastruktur
- innledende
- f.eks
- hensikt
- internt
- Internet
- inn
- etterforskning
- Undersøkelser
- etterforskende
- etterforskerne
- involvert
- involverer
- Israel
- IT
- DET ER
- selv
- Jobb
- Journalister
- jpg
- kjent
- Siste
- I fjor
- seinere
- minst
- Led
- lett
- i likhet med
- lenker
- Rettssaker
- Lang
- lenger
- ser
- Lav
- lukrative
- større
- malware
- administrer
- måte
- mange
- marked
- medlemmer
- nevnt
- Meny
- Microsoft
- Militær
- minoritet
- Mohamed
- Måned
- månedlig
- flere
- innfødt
- Ny
- New York
- nisje
- Nei.
- Norsk
- Merknader
- bemerkelsesverdig
- nå
- mange
- få
- innhentet
- of
- støtende
- Tilbud
- Office
- tjenestemenn
- ofte
- on
- På etterspørsel
- ONE
- operert
- drift
- drift
- operasjonell
- Drift
- alternativer
- or
- rekkefølge
- organisasjon
- organisasjoner
- original
- Annen
- andre
- vår
- ut
- utenfor
- enn
- sider
- betalt
- Spesielt
- spesielt
- passord
- betaling
- perioden
- phishing
- telefoner
- brikke
- Banebryt
- plato
- Platon Data Intelligence
- PlatonData
- politiker
- Politikere
- Portal
- forrige
- tidligere
- Principal
- privat
- privat sektor
- Produkt
- Produkter
- programmerere
- produktive
- forutsatt
- område
- omprofilering
- gjenkjent
- innspilling
- referert
- ansett
- i slekt
- relativt
- forbli
- rapporterer
- rapportert
- Rapporter
- anmode
- forespørsler
- Krav
- forskning
- forsker
- forskere
- Reuters
- anmeldelse
- Russland
- russisk
- s
- Sa
- sier
- Skala
- sektor
- sikkerhet
- Å Sell
- SEO
- Servere
- Tjenester
- flere
- viste
- betydelig
- lignende
- nettstedet
- Nettsteder
- ferdigheter
- liten
- Fotball
- noen
- noen ganger
- sofistikert
- ettertraktet
- hentet
- Kilder
- spesifikk
- spesielt
- viltvoksende
- spyware
- Start
- Tilstand
- status
- stjålet
- lagring
- slik
- overvåking
- sveits
- Systemer
- målrettet
- Teknisk
- Teknologi
- telekommunikasjon
- terrorist
- Det
- De
- tyveri
- deres
- tema
- Disse
- tredjeparts
- denne
- De
- trussel
- trusler
- Tied
- tid
- til
- sammen
- tom
- verktøy
- verktøykasse
- verktøy
- overganger
- Tribe
- to
- typer
- Uk
- etter
- forent
- De forente arabiske
- De forente arabiske emirater
- us
- usb
- brukt
- ved hjelp av
- verktøyet
- ulike
- ofre
- besøkende
- visuell
- Sikkerhetsproblemer
- var
- web
- Nettsted
- VI VIL
- var
- Hva
- når
- hvilken
- HVEM
- bred
- Bred rekkevidde
- utbredt
- vinduer
- med
- Arbeid
- verden
- World Cup
- verdensomspennende
- ville
- år
- år
- york
- zephyrnet
- Zürich-baserte