Μια ομάδα ερευνητών πάνω στον τομέα της κυβερνοασφάλειας αποκάλυψε μια ελάχιστα γνωστή Ινδική εταιρεία ΙΤ που λειτουργεί κρυφά ως παγκόσμια hackers-for-hire service ή hacking-as-a-service πλατφόρμα. Έχοντας έδρα το Δελχί, η Ινδική εταιρεία IT BellTroX InfoTech φαίνεται να στοχεύει τα τελευταία επτά χρόνια χιλιάδες σημαίνοντα άτομα και εκατοντάδες οργανισμούς σε έξι ηπείρους. Δεν φαίνεται να λειτουργεί ως κρατικά χρηματοδοτούμενη ομάδα, αλλά ως hack-for-hire εταιρεία που διεξάγει εμπορική κυβερνοεπιδρομή ενάντια σε συγκεκριμένους στόχους, εκ μέρους ιδιωτικών ερευνητών και πελατών τους. Σύμφωνα με την τελευταία αναφορά που δημοσίευσε το Citizen Lab του Πανεπιστημίου του Τορόντο, η Ινδική εταιρεία IT, που ονομάστηκε “Dark Basin” ως ομάδα πειρατείας, έχει ως στόχο το hack ομάδων υπεράσπισης και σημαινόντων προσώπων όπως διάσημων πολιτικών, κυβερνητικών αξιωματούχων, CEOs, δημοσιογράφων και υπερασπιστών των ανθρωπίνων δικαιωμάτων. Συγκεκριμένα, οι ερευνητές του Citizen Lab ανέφεραν πως κατά την πολυετή έρευνά τους διαπίστωσαν ότι η Dark Basin πιθανότατα πραγματοποίησε εμπορική κατασκοπεία και hack εκ μέρους πελατών της κι εναντίον σημαινόντων προσώπων – αντιπάλων που εμπλέκονταν σε δημόσιες εκδηλώσεις υψηλού προφίλ, ποινικές υποθέσεις, χρηματοοικονομικές συναλλαγές, ειδήσεις και ενέργειες υπεράσπισης. Το Citizen Lab ξεκίνησε την έρευνά του για την ομάδα Dark Basin το 2017, ύστερα από επικοινωνία με δημοσιογράφο που βρέθηκε στο στόχαστρο της ομάδας που εκτελούσε hack κατά σημαινόντων προσώπων, μέσω σελίδων ηλεκτρονικού phishing που προβάλλονταν από την self-hosted συντόμευση διεύθυνσης URL ανοιχτού κώδικα Phurl. Οι ερευνητές διαπίστωσαν ότι οι εισβολείς χρησιμοποιούσαν την ίδια συντόμευση διεύθυνσης URL για να συγκαλύψουν τουλάχιστον 27.591 άλλους συνδέσμους ηλεκτρονικού phishing που περιέχουν τις διευθύνσεις email των στόχων. Καθώς οι συντομεύσεις δημιουργούσαν διευθύνσεις URL με διαδοχικούς σύντομους κωδικούς, οι ερευνητές μπόρεσαν να τους απαριθμήσουν και να προσδιορίσουν σχεδόν 28.000 πρόσθετες διευθύνσεις URL που περιέχουν διευθύνσεις email στόχων. Ενώ αρχικά υπήρχαν υποψίες ότι αυτή η ομάδα χρηματοδοτούταν από το κράτος, αργότερα αναγνωρίστηκε ως ένα hack-for-hire πρόγραμμα, δεδομένης της ποικιλίας των στόχων.
Αξιοσημείωτο είναι το γεγονός ότι ο Sumit Gupta, ιδιοκτήτης της εταιρείας BellTroX, κατηγορήθηκε στην Καλιφόρνια το 2015 για την εμπλοκή του σε ένα παρόμοιο hack-for-hire πρόγραμμα, μαζί με δύο ιδιωτικούς ερευνητές που παραδέχτηκαν ότι τον πλήρωσαν για hack λογαριασμών στελεχών μάρκετινγκ.
Οι ερευνητές εντόπισαν αρκετούς υπαλλήλους της BellTroX, των οποίων οι δραστηριότητες καλύπτονταν από την Dark Basin, επειδή χρησιμοποιούσαν προσωπικά έγγραφα, συμπεριλαμβανομένου ενός βιογραφικού, ως περιεχόμενο – δόλωμα κατά τη δοκιμή των συντομεύσεων διευθύνσεων URL. Αναρτούσαν επίσης δημοσιεύσεις στα social media που περιέγραφαν και αναλάμβαναν την ευθύνη για τεχνικές επίθεσης που περιείχαν screenshots συνδέσμων προς την υποδομή της Dark Basin. Το Citizen Lab ενημέρωσε εκατοντάδες άτομα και ιδρύματα που βρίσκονται στο στόχαστρο της BellTroX, ενώ μοιράστηκε, ακόμη, τα ευρήματά του με το Υπουργείο Δικαιοσύνης των ΗΠΑ (DOJ), κατόπιν αιτήματος πολλών στόχων. Η Dark Basin έχει ένα αξιοσημείωτο χαρτοφυλάκιο στόχων, από ανώτερους κυβερνητικούς αξιωματούχους και υποψηφίους σε πολλές χώρες έως εταιρείες χρηματοπιστωτικών υπηρεσιών. Πολλοί από τους στόχους της Dark Basin θεωρούν ότι η στόχευση συνδέεται με μια διαμάχη ή σύγκρουση με ένα συγκεκριμένο μέρος που γνωρίζουν. Η εταιρεία Cybersecurity NortonLifeLock διεξήγαγε επίσης μια παράλληλη έρευνα για τις δραστηριότητες της Dark Basin, με την ονομασία “Mercenary.Amanda” και κυκλοφόρησε μια λίστα δεικτών συμβιβασμού (IoC).
