Темный Бассейн

Киберпреступная организация

Dark Basin — это группа хакеров по найму, обнаруженная в 2017 году Citizen Lab . ^[1] Их подозревают в том, что они действовали от имени таких компаний, как Wirecard ^[2] и ExxonMobil . ^[3]

Фон

В 2015 году Мэтью Эрл, управляющий партнер ShadowFall Capital & Research, начал изучать Wirecard AG , надеясь продать их без покрытия. Wirecard только что объявила о покупке Great Indian Retail Group за 254 миллиона долларов, ^[4] которые показались Эрлу завышенной ценой. В феврале 2016 года он начал публично писать о своих открытиях под псевдонимом Zatarra Research & Investigations, ^[5] обвиняя Wirecard в коррупции, корпоративном мошенничестве и отмывании денег . ^[6]

Вскоре после этого в Интернете была раскрыта личность Zatarra Research & Investigations, а также фотографии Эрла с камер наблюдения перед его домом. Эрл быстро понял, что за ним следят. Сотрудники Jones Day , юридической фирмы, представляющей Wirecard, ^[7] пришли навестить Эрла и передали ему письмо, обвиняя его в сговоре, заговоре, клевете, клевете и манипулировании рынком. ^[8] Эрл также начал получать целевые фишинговые электронные письма, по всей видимости, от его друзей и членов семьи. ^[2] Весной 2017 года Эрл поделился этими электронными письмами с Citizen Lab , исследовательской лабораторией, специализирующейся на информационном контроле. ^[8]

Расследование Citizen Lab

Первоначальные выводы

Citizen Lab обнаружила, что злоумышленники использовали специальную программу сокращения URL-адресов , которая позволяла производить перечисление и давала им доступ к списку из 28 000 URL-адресов . Некоторые из этих URL-адресов перенаправлялись на веб-сайты, похожие на Gmail , Facebook , LinkedIn , Dropbox или различные веб-почты — каждая страница настраивалась с использованием имени жертвы и просила пользователя повторно ввести свой пароль. ^[9]

Citizen Lab окрестила эту хакерскую группу «Dark Basin» и выделила среди жертв несколько кластеров: ^[1]

• Американские экологические организации, связанные с кампанией #ExxonKnew : ^[10] Фонд братьев Рокфеллеров , Центр климатических исследований, Гринпис , Центр международного экологического права , Oil Change International, Public Citizen , Фонд природоохранного права , Союз обеспокоенных ученых , Стратегические службы M+R или 350.орг
• СМИ США
• Хедж-фонды, короткие продавцы и финансовые журналисты
• Международные банки и инвестиционные компании
• Юридические фирмы в США , Великобритании , Израиле , Франции , Бельгии , Норвегии , Швейцарии , Исландии , Кении и Нигерии.
• Нефтяные и энергетические компании
• Восточноевропейские, центральноевропейские и российские олигархи
• Люди с хорошими ресурсами, занимающиеся разводами или другими юридическими вопросами.

Разнообразие целей заставило Citizen Lab задуматься о наемнической деятельности. Исследовательская лаборатория подтвердила, что некоторые из этих атак оказались успешными.

Ссылки на Индию

Несколько улик позволили Citizen Lab с высокой уверенностью утверждать , что Dark Basin базируется в Индии . ^[1]

Рабочее время

Временные метки в фишинговых письмах Dark Basin соответствовали рабочему времени в Индии, где существует только один часовой пояс: UTC+5:30 . ^[1]

Культурные ссылки

Экземпляры службы сокращения URL-адресов, используемые Dark Basin, имели названия, связанные с индийской культурой : Холи , Ронгали и Почанчи. ^[1]

Фишинговый комплект

Dark Basin предоставила доступ в Интернет исходному коду своего комплекта для фишинга, включая некоторые файлы журналов. Исходный код был настроен для печати временных меток в часовом поясе Индии . Файл журнала, показывающий некоторую активность тестирования, включал IP-адрес, расположенный в Индии. ^[1]

Ссылки на BellTroX

Citizen Lab с большой уверенностью полагает, что BellTroX, также известная как BellTroX InfoTech Services и BellTroX D|G|TAL Security, является компанией, стоящей за Dark Basin. ^[1] BellTroX, компания со штаб-квартирой в Дели , ^[11] рекламирует на своем веб-сайте такие виды деятельности, как тестирование на проникновение , сертифицированный этический взлом и медицинская расшифровка. Сотрудников BellTroX описывают как шумных ^[1] и часто публично рассказывающих о своей незаконной деятельности. ^[1] Основателю BellTroX Сумиту Гуптре ^[12] ранее было предъявлено обвинение в США в схеме взлома по найму от имени ViSalus . ^[13]

BellTroX использовала резюме одного из своих сотрудников для тестирования программы сокращения URL-адресов Dark Basin. Они также публично опубликовали скриншоты ссылок на инфраструктуру Dark Basin. ^[1]

Сотни людей, работающих в сфере корпоративной разведки и частных расследований, поддержали BellTroX на LinkedIn. Некоторые из них подозреваются в качестве возможных клиентов. В число этих одобрений входили чиновник канадского правительства, следователь Федеральной торговой комиссии США , сотрудники правоохранительных органов и частные детективы, ранее работавшие в ФБР , полиции, вооруженных силах и других ветвях власти. ^[1]

7 июня 2020 года BellTroX закрыла свой сайт. ^[1] В декабре 2021 года Meta ( Facebook ) запретила BellTroX как группу «кибер-наемников». ^{[14] [15]}

Реакции

И Wirecard, и ExxonMobil отрицают свою причастность к Dark Basin. ^{[16] [17]}

Рекомендации

1. Скотт-Рейлтон, Джон; Халкуп, Адам; Раззак, Бахр Абдул; Марчак, Билл; Анстис, Сиена; Дейберт, Рон (9 июня 2020 г.). «Темный бассейн - раскрытие масштабной операции по найму». Гражданская лаборатория . Архивировано из оригинала 30 сентября 2020 г. Проверено 28 февраля 2021 г.
2. Розин, Ханна (09.06.2020). «Dark Basin: глобальная организация по найму, которая на протяжении многих лет охватывала тысячи людей». Все учтено . ЭНЕРГЕТИЧЕСКИЙ ЯДЕРНЫЙ РЕАКТОР . Архивировано из оригинала 15 ноября 2020 г. Проверено 28 февраля 2021 г.
3. Мерфи, Пол (9 июня 2020 г.). «Платные хакеры атаковали тысячи людей и сотни учреждений по всему миру, — говорится в отчете». Файнэншл Таймс . Архивировано из оригинала 26 июня 2020 г. Получено 28 февраля 2021 г. - через Los Angeles Times .
4. «Wirecard покупает платежный бизнес Great Indian Retail Group» . Рейтер . 27 октября 2015 г. Архивировано из оригинала 01 марта 2021 г. Проверено 28 февраля 2021 г.
5. О'Доннелл, Джон (16 июля 2020 г.). «Длинная и одинокая кампания Германии: борьба с короткими продавцами Wirecard». Рейтер . Архивировано из оригинала 19 ноября 2020 г. Проверено 28 февраля 2021 г.
6. Дэвис, Пол Дж. (22 июня 2020 г.). «Короткие продавцы заработали 2,6 миллиарда долларов на падении Wirecard». МаркетВотч . Архивировано из оригинала 05 февраля 2021 г. Проверено 28 февраля 2021 г.
7. Дэвис, Пол Дж.; Чунг, Джульетта (20 июня 2020 г.). «Продавцы на понижение заработали 2,6 миллиарда долларов на падении Wirecard, но не без шрамов» . Журнал "Уолл Стрит . Архивировано из оригинала 20 июня 2020 г. Проверено 28 февраля 2021 г.
8. «Темный Бассейн - Дневники Даркнета». Дневники Даркнета . 2020-10-24.
9. Гальперин, Ева; Квинтин, Купер (27 сентября 2017 г.). «Фиш для будущего». Фонд электронных границ . Архивировано из оригинала 16 января 2021 г. Проверено 28 февраля 2021 г.
10. Хонг, Николь; Мейер, Барри; Бергман, Ронен (10 июня 2020 г.). «Защитники окружающей среды атаковали Exxon Mobil. Затем их атаковали хакеры» . Нью-Йорк Таймс . Архивировано из оригинала 01 февраля 2021 г. Проверено 28 февраля 2021 г.
11. Стаббс, Джек; Саттер, Рафаэль; Бинг, Кристофер (9 июня 2020 г.). «Неизвестная индийская киберфирма шпионила за политиками и инвесторами по всему миру». Рейтер . Архивировано из оригинала 26 января 2021 года.
12. Кумар, Анкит (9 июня 2020 г.). «Dark Basin: базирующаяся в Дели фирма «Hack-for-Hire», уличенная во взломе политиков и некоммерческих организаций по всему миру». Индия сегодня . Архивировано из оригинала 27 июня 2020 г. Проверено 28 февраля 2021 г.
13. «Частные детективы обвинены в схеме взлома электронной почты» (пресс-релиз). Прокурор США Северного округа Калифорнии . 11 февраля 2015 г. Архивировано из оригинала 07 января 2021 г. Проверено 28 февраля 2021 г.
14. «Meta публикует новый отчет об угрозах в сфере слежки за наймом» . Экономические времена . 17 декабря 2021 года. Архивировано из оригинала 17 декабря 2021 года.
15. Двилянски, Майк; Агранович, Давид; Глейхер, Натаниэль (16 декабря 2021 г.). «Отчет об угрозах в сфере наблюдения за наймом» (PDF) . Мета . Архивировано (PDF) из оригинала 16 декабря 2021 года.
16. Портер, Джон (10 июня 2020 г.). «Исследователи подробно описывают масштабные кампании по найму против защитников окружающей среды». Грань . Архивировано из оригинала 10 июня 2020 г. Проверено 28 февраля 2021 г.
17. Мерфи, Пол (9 июня 2021 г.). «Гражданская лаборатория Торонто обнаружила крупную организацию наемных хакеров «Dark Basin», которая атаковала сотни учреждений на шести континентах». Файнэншл Таймс . Архивировано из оригинала 25 января 2021 г. Получено 28 февраля 2021 г. - через Financial Post .