11-месячный анализ закрытых данных, полученных журналистами-расследователями агентства Reuters, проведенный поставщиком систем безопасности, подтвердил предыдущие сообщения о связи индийской группы хакеров по найму с многочисленными — иногда разрушительными — случаями кибершпионажа и слежки за отдельными лицами и организациями по всему миру.
Теневая группировка из Нью-Дели, известная как Appin, больше не существует — по крайней мере, в ее первоначальной форме и под брендом. Но в течение нескольких лет, начиная примерно с 2009 года, агенты Аппина нагло — а иногда и неуклюже — взламывали компьютеры, принадлежащие предприятиям и руководителям предприятий, политикам, высокопоставленным лицам, а также правительственным и военным чиновникам по всему миру. И его члены по сей день продолжают активно участвовать в дополнительных проектах.
Хакерство в глобальном масштабе
В число клиентов фирмы входили частные детективы, детективы, правительственные организации, корпоративные клиенты и зачастую организации, участвующие в крупных судебных разбирательствах, из США, Великобритании, Израиля, Индии, Швейцарии и ряда других стран.
Журналисты в Агентство Reuters, расследовавшее деятельность Эпина собрала подробную информацию о своих операциях и клиентах из нескольких источников, включая журналы, подключенные к сайту Appin под названием «MyCommando». Клиенты Appin использовали сайт для заказа услуг из того, что Reuters описало как меню опций для взлома электронной почты, телефонов и компьютеров целевых лиц.
Расследование Reuters показало, что Аппин связан с широким спектром хакерских инцидентов, о которых иногда сообщалось ранее, за последние годы. Они включали в себя все: от утечки частных электронных писем, которая сорвала выгодную сделку с казино для небольшого индейского племени в Нью-Йорке, до вторжения с участием консультанта из Цюриха, пытавшегося перенести чемпионат мира по футболу 2012 года в Австралию. Другие инциденты, упомянутые агентством Reuters в своем отчете, связаны с малазийским политиком Мохамедом Азмином Али, российским предпринимателем Борисом Березовским, нью-йоркским арт-дилером, наследницей французских бриллиантов, а также со вторжением в норвежскую телекоммуникационную компанию Telenor, которое привело к краже 60,000 XNUMX электронных писем.
Предыдущие расследования, о которых Reuters упоминало в своем отчете, связывали Аппина с некоторыми из этих инцидентов, например, с инцидентом в Telenor и с участием консультанта из Цюриха.
Почти убедительное доказательство
Подобные связи были дополнительно подтверждены исследованием, проведенным по заказу Reuters. проверка данных SentinelOne. Исчерпывающий анализ данных, собранных журналистами Reuters, проведенный фирмой по кибербезопасности, показал почти убедительные связи между Appin и многочисленными случаями кражи данных. В их число входила кража электронной почты и других данных Аппином у правительственных чиновников Пакистана и Китая. SentinelOne также обнаружила доказательства того, что Аппин проводил атаки с целью порчи сайтов, связанных с сообществом сикхского религиозного меньшинства в Индии, и по крайней мере одного запроса на взлом аккаунта Gmail, принадлежащего сикху, подозреваемому в терроризме.
«Текущее состояние организации существенно отличается от ее статуса десять лет назад», — говорит Том Хегель, главный исследователь угроз в SentinelLabs. «Первоначальная организация Appin, фигурировавшая в нашем исследовании, больше не существует, но ее можно рассматривать как прародительницу нескольких современных предприятий по найму», — говорит он.
По его словам, такие факторы, как ребрендинг, смена сотрудников и широкое распространение навыков, способствуют признанию Appin как новаторской группы по найму хакеров в Индии. Многие из бывших сотрудников компании создали аналогичные службы, которые работают в настоящее время.
Отчет Reuters и обзор SentinelOne пролили новый свет на теневой мир услуг по найму — рыночную нишу, которую другие также подчеркивают с некоторой обеспокоенностью. А отчет Google за прошлый год подчеркивает относительно широкую доступность этих услуг в таких странах, как Индия, Россия и Объединенные Арабские Эмираты. Сама компания SentinelOne в прошлом году сообщила об одной такой группе, получившей название Пустотный Балаур, работающий за пределами России.
Инфраструктурный поиск
В ходе анализа данных, полученных агентством Reuters, исследователи из SentinelOne смогли собрать воедино инфраструктуру, которую сотрудники Appin собрали для проведения операций. Операция «Похмелье» — как позже окрестили шпионскую операцию на Telenor — и другие кампании.
Обзор SentinelOne показал, что Appin часто использует стороннего подрядчика для приобретения и управления инфраструктурой, которую она использовала при проведении атак от имени своих клиентов. Сотрудники Appin обычно просили подрядчика приобрести серверы с конкретными техническими требованиями. Типы серверов, которые подрядчик получит для Appin, включают серверы для хранения украденных данных; серверы управления и контроля, те, на которых размещались веб-страницы для фишинга учетных данных, и серверы, на которых размещались сайты, предназначенные для заманивания конкретных целевых жертв. Например, на одном из таких сайтов была тема, связанная с исламским джихадом, которая направляла посетителей на другой веб-сайт, зараженный вредоносным ПО.
Руководители Appin использовали штатных программистов и калифорнийский портал фрилансеров Elance (теперь он называется Upwork) для поиска программистов для написания вредоносных программ и эксплойтов. Инструмент распространения USB, который группа хакеров использовала, например, в своей атаке на Telenor, был работой одного из таких фрилансеров Elance. В объявлении о вакансии в 2009 году Appin описала искомый инструмент как «продвинутую утилиту резервного копирования данных». Компания заплатила за продукт 500 долларов.
Через другие объявления о вакансиях на Elance Appin искал и приобретал различные другие инструменты, включая инструмент записи звука для систем Windows, обфускатор кода для CC и Visual C++, а также эксплойты для Microsoft Office и IE. Некоторые объявления были наглыми — например, реклама разработки эксплойтов или настройки существующих эксплойтов — для различных уязвимостей в Office, Adobe и браузерах, таких как Internet Explorer и Firefox. Едва скрываемый злой умысел и предложения низкой оплаты от Appin — например, 1,000 долларов в месяц за два эксплойта в месяц — часто приводили к тому, что фрилансеры отклоняли предложения компании о работе, отмечает SentinelOne.
Appin также получила свой набор инструментов от других компаний, в том числе от тех, кто продает частное шпионское ПО, сталкерское ПО и услуги по использованию эксплойтов. В некоторых случаях компания даже становилась реселлером этих продуктов и услуг.
Простой, но эффективный
«Наступательные услуги по обеспечению безопасности, предоставляемые клиентам более десяти лет назад, включали кражу данных с помощью многих форм технологий, которые внутри компании часто называют услугами «перехвата», — заявили в SentinelOne. «К ним относятся кейлоггинг, фишинг учетных данных, порча веб-сайта и SEO-манипуляции/дезинформация».
Appin также будет выполнять запросы клиентов, такие как взлом паролей к украденным документам, по требованию.
Гегель отмечает, что в рассматриваемый период индустрия найма в частном секторе Индии демонстрировала заметную степень креативности, хотя и с определенным техническим зачатком в то время.
«В ту эпоху сектор действовал предпринимательским образом, часто отдавая предпочтение экономически эффективным и несложным наступательным возможностям», — говорит он. «Несмотря на значительный масштаб своих операций, эти злоумышленники, как правило, не относятся к категории высококвалифицированных, особенно по сравнению с хорошо зарекомендовавшими себя современными постоянными угрозами (APT) или преступными организациями», — говорит он.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/attacks-breaches/hack-for-hire-group-sprawling-web-global-cyberattacks
- :имеет
- :нет
- 000
- 2012
- 60
- 7
- a
- в состоянии
- вмещать
- Учетная запись
- приобретать
- приобретенный
- через
- активный
- саман
- объявления
- продвинутый
- против
- тому назад
- причислены
- американские
- an
- анализ
- и
- Другой
- арабский
- Арабские Эмираты
- МЫ
- около
- Искусство
- AS
- спросить
- собранный
- связанный
- At
- атаковать
- нападки
- попытки
- аудио
- Австралия
- свободных мест
- Восстановление
- в основном
- бои
- BE
- стали
- от имени
- за
- не являетесь
- принадлежащий
- между
- борис
- брендинг
- Разрыв
- приносить
- браузеры
- бизнес
- бизнес
- но
- by
- C + +
- под названием
- Кампании
- CAN
- возможности
- нести
- проведение
- случаев
- Казино
- определенный
- китайский
- классифицированный
- клиент
- клиентура
- клиентов
- код
- сообщество
- Компания
- сравненный
- компьютеры
- Беспокойство
- подключенный
- значительный
- консультант
- Подрядчик
- способствовать
- контроль
- Корпоративное
- рентабельным
- страны
- растрескивание
- Создайте
- креативность
- ПОЛНОМОЧИЯ
- Криминальное
- чашка
- Текущий
- Текущее состояние
- В настоящее время
- Клиенты
- настройка
- кибер-
- кибератаки
- Информационная безопасность
- данным
- день
- сделка
- дилера
- десятилетие
- Степень
- описано
- предназначенный
- Несмотря на
- подробный
- Развитие
- Diamond
- отображается
- подрывной
- Документация
- дублированный
- в течение
- Писем
- появившийся
- эмираты
- Сотрудник
- сотрудников
- занятый
- предприятий
- лиц
- организация
- Предприниматель
- предпринимательский
- Эпоха
- шпионаж
- Даже
- многое
- , поскольку большинство сенаторов
- пример
- руководителей высшего звена.
- существующий
- существует
- Эксплуатировать
- использует
- Больше
- СПЕЦЦЕНА
- Найдите
- Firefox
- Фирма
- Что касается
- форма
- Бывший
- формы
- найденный
- внештатно
- Французский
- свежий
- от
- далее
- в общем
- Глобальный
- ушел
- Правительство
- Правительственные чиновники
- группы
- мотыга
- взломанa
- взлом
- было
- Есть
- he
- Выделенные
- основной момент
- очень
- состоялся
- HTTPS
- ie
- in
- включены
- В том числе
- Индия
- Индийская кухня
- individual
- лиц
- промышленность
- информация
- Инфраструктура
- начальный
- пример
- намерение
- внутренне
- Интернет
- в
- ходе расследования,
- Исследования
- следственный
- Следователи
- вовлеченный
- с участием
- Израиль
- IT
- ЕГО
- саму трезвость
- работа
- Журналисты
- JPG
- известный
- Фамилия
- В прошлом году
- новее
- наименее
- привело
- легкий
- такое как
- связи
- Судебный процесс
- Длинное
- дольше
- искать
- Низкий
- прибыльный
- основной
- вредоносных программ
- управлять
- способ
- многих
- рынок
- Участники
- упомянутый
- Меню
- Microsoft
- военный
- меньшинство
- Mohamed
- Месяц
- ежемесячно
- с разными
- родной
- Новые
- New York
- ниша
- нет
- Норвежский
- Заметки
- Примечательно
- сейчас
- многочисленный
- получать
- полученный
- of
- наступление
- Предложения
- Офис
- чиновников
- .
- on
- On-Demand
- ONE
- работать
- операционный
- операция
- оперативный
- Операционный отдел
- Опции
- or
- заказ
- организация
- организации
- оригинал
- Другое
- Другое
- наши
- внешний
- внешнюю
- за
- страниц
- выплачен
- особый
- особенно
- пароли
- оплата
- период
- фишинг
- телефоны
- кусок
- Новаторская
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- политик
- Политикам
- Портал
- предыдущий
- предварительно
- Основной
- частная
- частный сектор
- Продукт
- Продукция
- Программисты
- плодовитый
- при условии
- ассортимент
- ребрендинг
- признанный
- запись
- назвало
- рассматривать
- Связанный
- относительно
- оставаться
- отчету
- Сообщается
- Отчеты
- запросить
- Запросы
- Требования
- исследованиям
- исследователь
- исследователи
- Reuters
- обзоре
- Россия
- русский
- s
- Сказал
- говорит
- Шкала
- сектор
- безопасность
- продажа
- поисковая оптимизация
- Серверы
- Услуги
- несколько
- показал
- существенно
- аналогичный
- сайте
- Сайтов
- навыки
- небольшой
- Футбольный
- некоторые
- иногда
- сложный
- искать
- источников
- Источники
- конкретный
- конкретно
- растянутый
- шпионских программ
- Начало
- Область
- Статус:
- украли
- хранение
- такие
- наблюдение
- Швейцария
- системы
- целевое
- Технический
- Технологии
- связь
- террорист
- который
- Ассоциация
- кража
- их
- тема
- Эти
- сторонние
- этой
- те
- угроза
- угрозы
- Связанный
- время
- в
- вместе
- том
- инструментом
- Инструментарий
- инструменты
- переходы
- Племя
- два
- Типы
- Uk
- под
- Объединенный
- Объединенный Араб
- Объединенные Арабские Эмираты
- us
- USB
- используемый
- через
- утилита
- различный
- жертвы
- посетителей
- визуальный
- Уязвимости
- законопроект
- Web
- Вебсайт
- ЧТО Ж
- были
- Что
- когда
- , которые
- КТО
- широкий
- Широкий диапазон
- широко распространена
- окна
- Работа
- Мир
- Кубок мира
- по всему миру
- бы
- год
- лет
- йорк
- зефирнет
- Цюрихе