据了解,一家安全供应商对路透社调查记者获得的非公开数据进行了长达 11 个月的审查,证实了之前的报道,即印度雇佣黑客组织与全球范围内针对个人和实体的众多(具有破坏性的)网络间谍和监视事件有关。
总部位于新德里的神秘组织 Appin 目前已不复存在。但从 2009 年左右开始的几年里,Appin 明目张胆地侵入了世界各地企业和企业高管、政治家以及政府和军事官员的计算机。直到今天,其成员仍然积极参与衍生活动。
全球范围内的黑客攻击
该公司的客户包括私家侦探、侦探、政府组织、企业客户,以及来自美国、英国、以色列、印度、瑞士等国家实体。
路透社记者从多个来源收集了有关其运营和客户的详细信息,包括连接到名为“MyCommando”的 Appin 网站的日志。Appin 客户使用该网站从路透社描述的一系列选项中订购服务,用于侵入目标实体的电子邮件、电话和计算机。
路透社在其报告中提到,此前的调查已将 Appin 与其中一些事件联系起来,例如 Telenor 事件。
近乎确凿的证据
路透社委托 SentinelOne 对数据进行的审查进一步证实了这种联系。这家网络安全公司对路透社记者收集的数据进行了详尽的分析,显示 Appin 与众多数据盗窃事件之间有近乎确定的联系。其中包括窃取巴基斯坦政府官员的电子邮件和其他数据。
SentinelLabs 首席威胁研究员 Tom Hegel 表示:“该组织目前的状况与十年前有很大不同。我们研究中的最初实体‘Appin’已经不复存在,但可以被视为当今几家黑客雇佣企业的鼻祖。”
基础设施采购
SentinelOne 的审查显示,Appin 经常使用第三方外部承包商来获取和管理其用于代表客户实施攻击的基础设施。Appin 操作人员基本上会要求承包商购买具有特定技术要求的服务器。承包商将为 Appin 购买的服务器类型包括用于存储泄露数据的服务器;命令和控制服务器、托管用于凭证网络钓鱼的网页的服务器以及托管旨在引诱特定目标受害者的网站的服务器。
Appin 高管利用内部员工和位于加利福尼亚州的自由门户网站 Elance(现称为 Upwork)来寻找程序员来编写恶意软件和漏洞利用程序。例如,雇佣黑客组织在攻击 Telenor 时使用的 USB 传播器工具就是一位这样的 Elance 自由职业者的作品。在 2009 年的招聘启事中,Appin 将其正在寻找的工具描述为“高级数据备份实用程序”。该公司为该产品支付了 500 美元。
SentinelOne 表示:“十多年前,向客户提供的进攻性安全服务包括通过多种技术形式窃取数据,通常在内部称为‘拦截’服务。其中包括键盘记录、帐户凭据网络钓鱼、网站篡改和 SEO 操纵/虚假信息。”
Appin 还可以满足客户的请求,例如按需破解被盗文档的密码。
在审查期间,印度私营部门的雇佣黑客行业表现出了显着的创造力,尽管在特定时期还具有一定的技术基础。
在这个时代,该行业以创业方式运作,通常选择具有成本效益且简单的进攻能力,尽管这些攻击者的行动规模相当大,但他们通常不属于高度复杂的攻击者,特别是与成熟的高级持续威胁 (APT) 或犯罪组织相比。
精彩推荐
丹麦关基设施遭受该国史上最大规模的网络攻击
2023.11.16
多个大型港口受创,迪拜环球港务集团遭网络攻击致港口数千个集装箱被封锁
2023.11.15
黑莓称:巴以冲突下,针对Windows 版本的擦除恶意软件发起猛烈攻击
2023.11.14

注:本文由E安全编译报道,转载请联系授权并注明来源。
继续阅读
阅读原文