Trwający 11 miesięcy przegląd niepublicznych danych uzyskanych przez dziennikarzy śledczych Reutersa, przeprowadzony przez dostawcę zabezpieczeń, potwierdził wcześniejsze raporty wiążące indyjską grupę zajmującą się hakerami do wynajęcia z licznymi – czasami destrukcyjnymi – incydentami cyberszpiegostwa i inwigilacji wobec osób i podmiotów na całym świecie.
Mroczna grupa z siedzibą w New Delhi, znana jako Appin, już nie istnieje – przynajmniej w swojej pierwotnej formie i brandingu. Jednak przez kilka lat, począwszy od około 2009 roku, agenci Appina bezczelnie – a czasem niezdarnie – włamywali się do komputerów należących do firm i dyrektorów firm, polityków, osobistości o dużej wartości oraz urzędników rządowych i wojskowych na całym świecie. A jej członkowie do dziś pozostają aktywni w spinoffach.
Hakowanie na skalę globalną
Klientami firmy byli prywatni detektywi, detektywi, organizacje rządowe, klienci korporacyjni, a często podmioty zaangażowane w duże spory sądowe z USA, Wielkiej Brytanii, Izraela, Indii, Szwajcarii i kilku innych krajów.
Dziennikarze o godz Reuters, który badał działalność Appina zebrał szczegółowe informacje o swoich operacjach i klientach z wielu źródeł, w tym dzienników podłączonych do witryny Appin o nazwie „MyCommando”. Klienci Appin używali tej witryny do zamawiania usług, które Reuters określił jako menu opcji włamywania się do wiadomości e-mail, telefonów i komputerów docelowych podmiotów.
Dochodzenie Reutersa wykazało, że Appin był na przestrzeni lat powiązany z wieloma, czasami wcześniej zgłaszanymi, incydentami hakerskimi. Obejmowały one wszystko, od wycieku prywatnych e-maili, który udaremnił lukratywną umowę z kasynem dla małego plemienia indiańskich w Nowym Jorku, po włamanie z udziałem konsultanta z Zurychu, który próbował sprowadzić mistrzostwa świata w piłce nożnej w 2012 roku do Australii. Inne zdarzenia, o których Reuters wspomniał w swoim raporcie, dotyczyły malezyjskiego polityka Mohameda Azmina Alego, rosyjskiego przedsiębiorcy Borysa Bieriezowskiego, nowojorskiego handlarza dziełami sztuki, francuskiej dziedziczki diamentów oraz włamania do norweskiej firmy telekomunikacyjnej Telenor, które doprowadziło do kradzieży 60,000 XNUMX e-maili.
Wcześniejsze dochodzenia, o których wspomniała agencja Reuters w swoim raporcie, powiązały Appina z niektórymi z tych incydentów – np. tym w Telenorze i tym z udziałem konsultanta z Zurychu.
Prawie rozstrzygający dowód
Powiązania te zostały dodatkowo potwierdzone przez osobę zleconą przez Reuters przegląd danych przez SentinelOne. Wyczerpująca analiza danych zebranych przez dziennikarzy Reutersa przez firmę zajmującą się cyberbezpieczeństwem wykazała niemal jednoznaczne powiązania między Appinem a licznymi incydentami kradzieży danych. Obejmowały one kradzież poczty elektronicznej i innych danych przez firmę Appin urzędnikom rządowym Pakistanu i Chin. SentinelOne znalazł również dowody na przeprowadzanie przez Appin ataków polegających na zniesławianiu witryn powiązanych ze społecznością mniejszości religijnej sikhijskiej w Indiach oraz na co najmniej jedną prośbę o włamanie na konto Gmail należące do sikhijskiej osoby podejrzanej o bycie terrorystą.
„Obecny stan organizacji znacznie różni się od stanu sprzed dziesięciu lat” – mówi Tom Hegel, główny badacz zagrożeń w SentinelLabs. „Początkowy podmiot, «Appin», objęty naszym badaniem, już nie istnieje, ale można go uznać za przodka, z którego wyłoniło się kilka współczesnych przedsiębiorstw zajmujących się hackingiem do wynajęcia” – mówi.
Czynniki takie jak rebranding, zmiany pracowników i powszechne rozpowszechnianie umiejętności sprawiają, że Appin jest uznawany za pionierską grupę zajmującą się hackami do wynajęcia w Indiach – mówi. Wielu byłych pracowników firmy stworzyło podobne usługi, które działają obecnie.
Raport Reutersa i recenzja SentinelOne rzuciły nowe światło na mroczny świat usług hakerskich do wynajęcia – niszę rynkową, którą inni również podkreślali z pewnym niepokojem. A raport Google z zeszłego roku podkreśla stosunkowo dużą dostępność tych usług w krajach takich jak Indie, Rosja i Zjednoczone Emiraty Arabskie. Sam SentinelOne doniósł w zeszłym roku o nazwaniu jednej takiej grupy Pustki Balaurów, działający poza Rosją.
Pozyskiwanie infrastruktury
Podczas przeglądu danych uzyskanych przez Reuters badacze z SentinelOne byli w stanie poskładać infrastrukturę, którą agenci Appin zgromadzili do przeprowadzenia Operacja Kac – jak później nazwano operację szpiegowską na Telenorze – i inne kampanie.
Przegląd SentinelOne wykazał, że Appin często korzystał z usług zewnętrznego wykonawcy w celu nabycia infrastruktury używanej do przeprowadzania ataków w imieniu swoich klientów i zarządzania nią. Agenci aplikacji zasadniczo poprosiliby wykonawcę o zakup serwerów spełniających określone wymagania techniczne. Typy serwerów, które wykonawca miałby pozyskać dla Appin, obejmowały serwery do przechowywania wyekstrahowanych danych; serwery dowodzenia i kontroli, obsługujące strony internetowe służące do wyłudzania danych uwierzytelniających oraz serwery obsługujące witryny zaprojektowane w celu zwabienia określonych ofiar. Na przykład jedna z takich witryn zawierała motyw związany z islamskimi dżihadystami, co prowadziło odwiedzających do innej witryny zawierającej złośliwe oprogramowanie.
Kierownictwo Appin korzystało z pomocy wewnętrznych programistów i niezależnego portalu Elance z siedzibą w Kalifornii — obecnie zwanego Upwork — w celu znalezienia programistów do kodowania złośliwego oprogramowania i exploitów. Na przykład narzędzie propagujące USB, którego grupa hakerów do wynajęcia wykorzystała w swoim ataku na Telenor, było dziełem jednego z takich freelancerów z Elance. W ogłoszeniu o pracę z 2009 roku firma Appin określiła narzędzie, którego szukała, jako „zaawansowane narzędzie do tworzenia kopii zapasowych danych”. Firma zapłaciła za produkt 500 dolarów.
Za pośrednictwem innych ogłoszeń o pracę w serwisie Elance Appin poszukiwał i nabywał różne inne narzędzia, w tym narzędzie do nagrywania dźwięku dla systemów Windows, narzędzie zaciemniające kod dla CC i Visual C++ oraz exploity dla Microsoft Office i IE. Niektóre reklamy były bezczelne – na przykład reklamy dotyczące opracowywania exploitów – lub dostosowywania istniejących exploitów – w związku z różnymi lukami w zabezpieczeniach pakietu Office, Adobe i przeglądarek, takich jak Internet Explore i Firefox. Ledwie ukrywane złośliwe zamiary i oferty niskich płatności ze strony Appin — na przykład 1,000 dolarów miesięcznie za dwa exploity w miesiącu — często powodowały, że freelancerzy odrzucali oferty pracy firmy, zauważył SentinelOne.
Appin pozyskał także swój zestaw narzędzi od innych firm, w tym od sprzedawców prywatnego oprogramowania szpiegującego, stalkerware i usług wykorzystujących exploity. W niektórych przypadkach stał się nawet sprzedawcą tych produktów i usług.
Nieskomplikowany, ale skuteczny
„Ofensywne usługi bezpieczeństwa świadczone klientom ponad dziesięć lat temu obejmowały kradzież danych przy użyciu wielu form technologii, często nazywaną wewnętrznie usługami „przechwytywania”” – stwierdził SentinelOne. „Należą do nich rejestrowanie naciśnięć klawiszy, wyłudzanie danych uwierzytelniających konta, niszczenie witryn internetowych oraz manipulacje/dezinformacja SEO”.
Appin będzie również uwzględniał na żądanie żądania klientów, takie jak łamanie haseł ze skradzionych dokumentów.
Hegel zauważa, że w badanym okresie przemysł hackerski w sektorze prywatnym w Indiach wykazał się godnym uwagi stopniem kreatywności, aczkolwiek posiadał on wówczas pewne podstawy techniczne.
„W tamtej epoce sektor działał w sposób przedsiębiorczy, często decydując się na opłacalne i nieskomplikowane możliwości ofensywne” – mówi. „Pomimo znacznej skali swoich działań, napastnicy ci na ogół nie są klasyfikowani jako wysoce wyrafinowani, szczególnie w porównaniu z ugruntowanymi zaawansowanymi zagrożeniami trwałymi (APT) lub organizacjami przestępczymi” – mówi.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/attacks-breaches/hack-for-hire-group-sprawling-web-global-cyberattacks
- :ma
- :nie
- 000
- 2012
- 60
- 7
- a
- Zdolny
- pomieścić
- Konto
- nabyć
- nabyty
- w poprzek
- aktywny
- Adobe
- Reklamy
- zaawansowany
- przed
- temu
- również
- amerykański
- an
- analiza
- i
- Inne
- Arabki
- Emiraty Arabskie
- SĄ
- na około
- Sztuka
- AS
- zapytać
- zmontowane
- powiązany
- At
- atakować
- Ataki
- próbując
- audio
- Australia
- dostępność
- backup
- Gruntownie
- bitwy
- BE
- stał
- w imieniu
- za
- jest
- należący
- pomiędzy
- Boris
- branding
- Przełamując
- przynieść
- przeglądarki
- biznes
- biznes
- ale
- by
- C + +
- nazywa
- Kampanie
- CAN
- możliwości
- nieść
- noszenie
- Etui
- Kasyno
- pewien
- chiński
- sklasyfikowany
- klient
- klientela
- klientów
- kod
- społeczność
- sukcesy firma
- w porównaniu
- komputery
- Troska
- połączony
- znaczny
- konsultant
- Kontrahent
- przyczynić się
- kontrola
- Korporacyjny
- opłacalne
- kraje
- świetny
- Stwórz
- kreatywność
- POŚWIADCZENIE
- Karny
- Kubek
- Aktualny
- Stan aktulany
- Obecnie
- Klientów
- dostosowywanie
- cyber
- cyberataki
- Bezpieczeństwo cybernetyczne
- dane
- dzień
- sprawa
- sprzedawca
- dekada
- Stopień
- opisane
- zaprojektowany
- Mimo
- szczegółowe
- oprogramowania
- Diament
- wystawiany
- uciążliwy
- dokumenty
- dubbingowane
- podczas
- e-maile
- wyłonił
- Arabskie
- Pracownik
- pracowników
- zaangażowany
- przedsiębiorstwa
- podmioty
- jednostka
- Przedsiębiorca
- przedsiębiorczy
- Era
- szpiegostwo
- Parzyste
- wszystko
- dowód
- przykład
- kierownictwo
- Przede wszystkim system został opracowany
- istnieje
- Wykorzystać
- exploity
- odkryj
- polecane
- Znajdź
- Firefox
- Firma
- W razie zamówieenia projektu
- Nasz formularz
- Dawny
- formularze
- znaleziono
- wolny zawód
- francuski
- świeży
- od
- dalej
- ogólnie
- Globalne
- poszedł
- Rząd
- Urzędnicy państwowi
- Zarządzanie
- siekać
- hacked
- włamanie
- miał
- Have
- he
- Podświetlony
- pasemka
- wysoko
- hostowane
- HTTPS
- ie
- in
- włączony
- Włącznie z
- Indie
- Hindusi
- indywidualny
- osób
- przemysł
- Informacja
- Infrastruktura
- początkowy
- przykład
- zamiar
- wewnętrznie
- Internet
- najnowszych
- śledztwo
- Dochodzenia
- badawczy
- Śledczy
- zaangażowany
- z udziałem
- Izrael
- IT
- JEGO
- samo
- Praca
- Dziennikarze
- jpg
- znany
- Nazwisko
- Ostatni rok
- później
- najmniej
- Doprowadziło
- lekki
- lubić
- linki
- Spór
- długo
- dłużej
- poszukuje
- niski
- lukratywny
- poważny
- malware
- zarządzanie
- sposób
- wiele
- rynek
- Użytkownicy
- wzmiankowany
- Menu
- Microsoft
- Wojsko
- mniejszość
- Mohamed
- Miesiąc
- miesięcznie
- wielokrotność
- rodzimy
- Nowości
- I Love New York
- nisza
- Nie
- norweski
- Uwagi
- godny uwagi
- już dziś
- liczny
- uzyskać
- uzyskane
- of
- obraźliwy
- Oferty
- Biurowe
- urzędnicy
- często
- on
- Na żądanie
- ONE
- eksploatowane
- operacyjny
- działanie
- operacyjny
- operacje
- Opcje
- or
- zamówienie
- organizacja
- organizacji
- oryginalny
- Inne
- Pozostałe
- ludzkiej,
- na zewnątrz
- zewnętrzne
- koniec
- stron
- płatny
- szczególny
- szczególnie
- hasła
- płatność
- okres
- phishing
- telefony
- kawałek
- Pionierskość
- plato
- Analiza danych Platona
- PlatoDane
- polityk
- Politycy
- Portal
- poprzedni
- poprzednio
- Główny
- prywatny
- Sektor prywatny
- Produkt
- Produkty
- Programiści
- płodny
- pod warunkiem,
- zasięg
- rebranding
- uznane
- nagranie
- , o którym mowa
- traktować
- związane z
- stosunkowo
- pozostawać
- raport
- Zgłoszone
- Raporty
- zażądać
- wywołań
- wymagania
- Badania naukowe
- badacz
- Badacze
- Reuters
- przeglądu
- Rosja
- Rosyjski
- s
- Powiedział
- mówią
- Skala
- sektor
- bezpieczeństwo
- Sprzedawanie
- seo
- Serwery
- Usługi
- kilka
- pokazał
- znacznie
- podobny
- witryna internetowa
- Witryny
- umiejętności
- mały
- Piłka nożna
- kilka
- czasami
- wyrafinowany
- poszukiwany
- pozyskiwany
- Źródła
- specyficzny
- swoiście
- rozwalony
- spyware
- Startowy
- Stan
- Rynek
- skradziony
- przechowywania
- taki
- inwigilacja
- Szwajcaria
- systemy
- ukierunkowane
- Techniczny
- Technologia
- telekomunikacja
- terrorysta
- że
- Połączenia
- kradzież
- ich
- motyw
- Te
- innych firm
- to
- tych
- groźba
- zagrożenia
- Związany
- czas
- do
- razem
- tom
- narzędzie
- Zestaw narzędzi
- narzędzia
- przejścia
- Plemię
- drugiej
- typy
- Uk
- dla
- Zjednoczony
- Zjednoczone Emiraty Arabskie
- Zjednoczone Emiraty Arabskie
- us
- usb
- używany
- za pomocą
- użyteczność
- różnorodny
- Ofiary
- odwiedzający
- wizualny
- Luki w zabezpieczeniach
- była
- sieć
- Strona internetowa
- DOBRZE
- były
- Co
- jeśli chodzi o komunikację i motywację
- który
- KIM
- szeroki
- Szeroki zasięg
- rozpowszechniony
- okna
- w
- Praca
- świat
- Mistrzostwa Świata
- na calym swiecie
- by
- rok
- lat
- york
- zefirnet
- Z siedzibą w Zurychu