Un equipo de investigadores de ciberseguridad descubrió hoy una empresa india de TI poco conocida que ha estado operando en secreto como un servicio global de piratas informáticos o plataforma de piratería como servicio.
Con sede en Delhi, BellTroX InfoTech supuestamente se dirigió a miles de personas de alto perfil y cientos de organizaciones en seis continentes en los últimos siete años.
Los servicios de hack-for-hire no operan como un grupo patrocinado por el estado, sino probablemente como una empresa de hack-for-hire que realiza ciberespionaje comercial contra objetivos determinados en nombre de investigadores privados y sus clientes.
Según el último informe publicado por el Citizen Lab de la Universidad de Toronto, BellTroX, denominado ‘ Dark Basin‘como grupo de piratería: grupos de defensa dirigidos, políticos de alto rango, funcionarios gubernamentales, directores generales, periodistas y defensores de los derechos humanos.
«En el transcurso de nuestra investigación de varios años, descubrimos que Dark Basin probablemente llevó a cabo espionaje comercial en nombre de sus clientes contra oponentes involucrados en eventos públicos de alto perfil, casos criminales, transacciones financieras, noticias y defensa», se lee en el informe. .
Citizen Lab comenzó su investigación sobre el grupo ‘Dark Basin’ en 2017 después de que fue contactado por un periodista dirigido con páginas de phishing que fueron servidas a través del acortador de URL de Phurl de código abierto autohospedado.
Los investigadores descubrieron que los atacantes usaban el mismo acortador de URL para disfrazar al menos 27,591 otros enlaces de phishing que contenían las direcciones de correo electrónico de los objetivos.
«Debido a que los acortadores crearon URL con códigos cortos secuenciales, pudimos enumerarlos e identificar casi 28,000 URL adicionales que contienen direcciones de correo electrónico de los objetivos».
Inicialmente sospechoso de estar patrocinado por el estado, el grupo de piratería se identificó más tarde como un esquema de pirateo a sueldo, dada la variedad de objetivos.
Curiosamente, Sumit Gupta, el dueño de la compañía BellTroX, fue acusado una vez en California en 2015 por su papel en un esquema similar de hack-for-hire, junto con dos investigadores privados que admitieron haberle pagado para hackear las cuentas de los ejecutivos de marketing.
«Dark Basin dejó copias del código fuente de su kit de phishing disponibles abiertamente en línea, así como archivos de registro» que «registraron cada interacción con el sitio web de credenciales de phishing, incluida la actividad de prueba realizada por los operadores de Dark Basin», dijo Citizen Lab.
«Pudimos identificar a varios empleados de BellTroX cuyas actividades se superponían con Dark Basin porque usaban documentos personales, incluido un CV, como contenido de cebo al probar sus acortadores de URL».
«También publicaron en las redes sociales describiendo y reconociendo las técnicas de ataque que contienen capturas de pantalla de enlaces a la infraestructura de Dark Basin».
Citizen Lab notificó a cientos de personas e instituciones seleccionadas por BellTroX y compartió sus hallazgos con el Departamento de Justicia de los Estados Unidos (DOJ) a pedido de varios objetivos.
«Dark Basin tiene una notable cartera de objetivos, desde altos funcionarios del gobierno y candidatos en varios países hasta empresas de servicios financieros como fondos de cobertura y bancos y compañías farmacéuticas».
«Muchos de los objetivos de Dark Basin tienen un sentido fuerte pero no confirmado de que el objetivo está vinculado a una disputa o conflicto con una parte en particular que conocen».
La compañía de seguridad cibernética NortonLifeLock también está llevando a cabo una investigación paralela sobre las operaciones de Dark Basin, denominada «Mercenary.Amanda» y lanzó una lista de Indicadores de Compromiso (IoC).
Fuente: https://thehackernews.com/2020/06/hacker-for-hire-belltrox-india.html
