Utente:Pwinger/Dark Basin

Da Teknopedia, l'enciclopedia libera.
Vai alla navigazione Vai alla ricerca
Dark Basin
BellTroX InfoTech Services
TipoAdvanced Persistent Threat
Affiliazione internazionaleWirecard, ExxonMobil
FondazioneNon conosciuta
ScopoSpionaggio informatico
Sede centraleIndia (bandiera) India

Dark Basin è un gruppo hacker con sede in India. Esso è comunemente conosciuto per le sue attività di hack-for-hire (hacker a pagamento). Scoperto nel 2017 da Citizen Lab[1], si sospetta che abbiano agito per conto di società come Wirecard [2] e ExxonMobil. [3]

Nel 2015, Matthew Earl, managing partner di ShadowFall Capital & Research, ha iniziato a studiare la società tedesca Wirecard AG, prevedendo di venderla allo scoperto. Wirecard aveva precedentemente annunciato l'acquisto della società indiana di e-commerce e pagamenti elettronici Great Indian Retail Group per 254 milioni di dollari[4], somma che a Earl sembrava un valore sovrastimato. Nel febbraio 2016 ha iniziato a scrivere pubblicamente delle sue scoperte con lo pseudonimo di Zatarra Research & Investigations[5], accusando Wirecard di corruzione, frode aziendale e riciclaggio di denaro.[6]

Poco dopo, l'identità di Zatarra Research & Investigations venne pubblicata online, insieme ad immagini di sorveglianza davanti alla sua abitazione. Ben presto si rese conto che alcuni investigatori privati lo stavano pedinando. Alcuni dipendenti di Jones Day, uno studio legale che rappresenta Wirecard[7], si recarono a casa di Earl, consegnandogli una lettera che lo accusava di collusione, cospirazione, diffamazione, calunnia e manipolazione del mercato.[8] Successivamente, Earl iniziò a ricevere e-mail di phishing mirate, che sembravano provenire da suoi conoscenti.[2] Nella primavera del 2017 ha condiviso queste e-mail con Citizen Lab, un laboratorio di ricerca dell'Università di Toronto specializzato nel monitoraggio delle informazioni e nella difesa della censura.[8]

L'indagine di Citizen Lab

[modifica | modifica wikitesto]

Scoperte iniziali

[modifica | modifica wikitesto]

Citizen Lab ha scoperto che gli hacker utilizzavano una tecnica personalizzata di URL shortening che consentiva di enumerare i singoli collegamenti, dando loro accesso a un elenco di 28.000 URL circa. Alcuni di questi venivano reindirizzati a una riproduzione di siti web legittimi come Gmail, Facebook, LinkedIn, Dropbox o varie webmail - ogni pagina viene personalizzata con il nome della vittima, chiedendo all'utente di reinserire la propria password.[9]

Citizen Lab ha denominato questo gruppo di hacker "Dark Basin". Hanno identificato diversi raggruppamenti tra le vittime: [1]

  • Organizzazioni ambientaliste americane legate alla campagna #ExxonKnew[10]: Rockefeller Brothers Fund, Climate Investigations Center, Greenpeace, Center for International Environmental Law, Oil Change International, Public Citizen, Conservation Law Foundation, Union of Concerned Scientists, M+R Strategic Services o 350.org.
  • Media statunitensi
  • Fondi speculativi, venditori allo scoperto e giornalisti finanziari
  • Banche e società di investimento internazionali
  • Studi legali negli Stati Uniti, Regno Unito, Israele, Francia, Belgio, Norvegia, Svizzera, Islanda, Kenya e Nigeria
  • Società petrolifere ed energetiche
  • Oligarchi dell'Europa orientale, centrale e russa
  • Persone benestanti coinvolte in divorzi o altre questioni legali

La varietà degli obiettivi ha fatto pensare a Citizen Lab a un'attività mercenaria. Il laboratorio di ricerca ha confermato che alcuni di questi attacchi sono andati a buon fine.

Collegamenti con l'India

[modifica | modifica wikitesto]

Diversi indizi hanno permesso a Citizen Lab di affermare con sicurezza che Dark Basin aveva sede in India.[8][1]

Ore lavorative

[modifica | modifica wikitesto]

I dati temporali delle e-mail di phishing di Dark Basin erano compatibili con gli orari di lavoro in India, dove vige un solo fuso orario: UTC+5:30.[1]

Riferimenti culturali

[modifica | modifica wikitesto]

Le istanze di abbreviazione degli URL utilizzato da Dark Basin contenevano denominazioni legate alla cultura indiana: Holi, Rongali e Pochanchi. [1]

Kit di phishing

[modifica | modifica wikitesto]

Dark Basin ha reso disponibile online il codice sorgente del suo kit di phishing, compresi alcuni file di log. Il codice sorgente era configurato per stampare i timestamp nel fuso orario dell'India. Dal file di log si possono evincere alcune attività di test e un indirizzo IP pubblico basato in India.[1]

Collegamenti con BellTroX

[modifica | modifica wikitesto]

Citizen Lab sostiene, con estrema certezza, che BellTroX, nota anche come BellTroX InfoTech Services e BellTroX D|G|TAL Security, sia l'azienda dietro Dark Basin.[1] BellTroX, una società con base a Nuova Delhi[11], pubblicizza sul proprio sito web attività quali test di penetrazione, hacking etico certificato e trascrizione medica. I dipendenti di BellTroX spesso pubblicano in rete informazioni sulle loro attività illegali.[1] Il fondatore di BellTroX, Sumit Guptra[12], è stato precedentemente incriminato e accusato negli Stati Uniti per uno schema di hacking a pagamento per conto di ViSalus.[13]

BellTroX ha utilizzato il curriculum vitae di uno dei suoi dipendenti per testare lo shortener URL usato da Dark Basin. Hanno anche reso pubbliche le schermate dei link all'infrastruttura di Dark Basin.[1]

Centinaia di dipendenti di intelligence aziendale e di investigazione privata hanno sponsorizzato BellTroX su LinkedIn. Si sospetta che alcuni di loro siano possibili clienti. Tra questi, un funzionario del governo canadese, un investigatore della Federal Trade Commission degli Stati Uniti, funzionari delle forze dell'ordine e investigatori privati con precedenti ruoli nell'FBI, nella polizia, nell'esercito e in altri rami del governo di diverse nazioni.[1]

Il 7 giugno 2020, BellTroX ha oscurato il suo sito web[1]. Nel dicembre 2021, Facebook ha messo al bando BellTroX in quanto ritenuto un gruppo di "cyber-mercenari".[14][15]

Sia Wirecard che ExxonMobil hanno negato qualsiasi coinvolgimento con Dark Basin. [16][17]

  1. ^ a b c d e f g h i j k The Citizen Lab, Uncovering a Massive Hack-For-Hire Operation [Scoperta una massiccia operazione di hacking su commissione], su https://citizenlab.ca/. Errore nelle note: Tag <ref> non valido; il nome "cl" è stato definito più volte con contenuti diversi
  2. ^ a b https://www.npr.org/2020/06/09/873349773/dark-basin-global-hack-for-hire-organization-that-targeted-thousands-over-the-ye.
  3. ^ https://www.latimes.com/world-nation/story/2020-06-09/paid-hackers-dark-basin-targeted-thousands-people-hundreds-institutions. Ospitato su the Los Angeles Times.
  4. ^ https://www.reuters.com/article/us-wirecard-acquisition-india/wirecard-buys-great-indian-retail-group-payments-business-idUSKCN0SL1L520151027.
  5. ^ https://www.reuters.com/article/us-wirecard-accounts-germany-insight/germanys-long-lonely-campaign-battling-wirecards-short-sellers-idUSKCN24H0KM.
  6. ^ https://www.marketwatch.com/story/short-sellers-made-26-bln-off-wirecard-plunge-2020-06-22.
  7. ^ (EN) Paul J. Davies e Juliet Chung, Short Sellers Made $2.6 Billion Off Wirecard’s Plunge, but Not Without Scars, in Wall Street Journal, 20 giugno 2020. URL consultato il 9 giugno 2023.
  8. ^ a b c (EN) Dark Basin – Darknet Diaries, su darknetdiaries.com. URL consultato il 9 giugno 2023.
  9. ^ (EN) Eva Galperin and Cooper Quintin, Phish For the Future, su Electronic Frontier Foundation, 27 settembre 2017. URL consultato il 9 giugno 2023.
  10. ^ Nicole Hong, Environmentalists Targeted Exxon Mobil. Then Hackers Targeted Them., in The New York Times, 10 giugno 2020.
  11. ^ (EN) Exclusive: Obscure Indian cyber firm spied on politicians, investors worldwide, in Reuters, 9 giugno 2020. URL consultato il 9 giugno 2023.
  12. ^ (EN) Dark Basin: Delhi-based “Hack-for-Hire” firm exposed for hacking politicians, non-profits globally, su India Today. URL consultato il 9 giugno 2023.
  13. ^ (EN) Northern District of California | Private Investigators Indicted In E-Mail Hacking Scheme | United States Department of Justice, su www.justice.gov, 11 febbraio 2015. URL consultato il 9 giugno 2023.
  14. ^ Meta releases new threat report on surveillance for hire industry, in The Economic Times, 17 December 2021.
  15. ^ Mike Dvilyanski, Threat Report on the Surveillance-for-Hire Industry (PDF), su about.fb.com, Meta, 16 December 2021.
  16. ^ https://www.theverge.com/2020/6/10/21286486/dark-basin-hackers-for-hire-phishing-emails-environmental-nonprofit-groups-exxon-mobil.
  17. ^ https://financialpost.com/financial-times/torontos-citizen-lab-uncovers-massive-hackers-for-hire-organization-dark-basin-that-has-targeted-hundreds-of-institutions-on-six-continents. Ospitato su the Financial Post.