这是有史以来最大的雇佣间谍活动之一。近日,路透社独家报导称,一家名为“BellTroX InfoTech Services”(BellTroX 资讯科技服务)的印度公司为用户提供骇客服务,7 年内监视了超过 1 万个电子邮件账户,多国政要、行业大亨、社会团体和知名机构都成为其攻击对象。
BellTroX 是谁?
位于新德里的 BellTroX 并不是一家知名企业。
从 LinkedIn 可知,BellTroX 成立于 2011 年,是医院、诊所、专家证人、独立从业者和企业的转录和听写服务提供商,和飞利浦、奥林巴斯等品牌建立了合作关系。
在简介中,发现到 BellTroX 的一个修饰词 one of the World’s premier(行业领军企业之一),据称,其技术团队有多年的听写经验,在医疗、法律和商业转录领域受过专业的训练,旨在透过与客户建立长期的合作关系,提供高品质、低成本的解决方案。
但按照该公司 3 名前雇员和一名外部研究人员的说法以及网络上的证据,这家公司并不像简介中的那么简单──BellTroX 为用户提供骇客服务,主要瞄准了欧洲-官员、巴哈马赌博业大亨和美国知名投资机构(比如私募股权巨头 KKR 和曾用 20 多天让一家公司退市的著名做空机构浑水 Muddy Waters)。
对此,浑水创始人 Carson Block 表示:
得知我们很可能被 BellTroX 的客户当做攻击对象,我感到失望,但并不惊讶。
另外几名知情人士向路透社透露,美国执法部门已经开始调查 BellTroX。
量产恶意邮件的工作室
那么,这样一家“挂羊头卖狗肉”的雇佣骇客公司,究竟是如何运作的呢?
据了解,BellTroX 的办公室其实是在一家商店楼上的一个小房间,一封封恶意电子邮件就是从这个工作室发出去的。有些讯息会模仿攻击对象的同事或亲戚发送,有些则是 Facebook 登入请求或者退订色情网站的提示。
在路透社的采访中,纽约做空公司 Safkhet Capital 创始人 Fahmi Quadir 表示:
启动基金后不久的 2018 年初,电子邮件数量就开始激增。一开始的邮件和星座有关,看上去不像是恶意邮件,后来慢慢就开始升级到色情了。后来,邮件品质有所提高,骇客开始模仿同事、家人或其他卖空机构。
事实上,Safkhet Capital 是 2017-2019 年 BellTroX 瞄准的 17 家投资公司之一。同时,一些美国宣传团体也不能幸免──比如两个支持网络中立的组织“Free Press”(新闻自由)和“Fight for the Future”(为未来而战)。
对此,Fight for the Future 组织副主任 Evan Greer 表示:
当公司或政客雇佣这样的骇客组织来瞄准民间团体时,我们的民主进程也遭到了破坏。
同时路透社报导称,之前从骇客使用的匿名线上服务提供商处获取了大量数据,这些数据是一个包含了目标群体和具体时间的“目标列表”。
路透社透过对目标群体收到的电子邮件进行审查发现,BellTroX 在 2013 年至 2020 年间发送了数万条恶意讯息,旨在诱使受害者放弃密码。
据了解,路透社在“目标列表”里看到了南非法官、墨西哥政治人物、法国律师、美国环保组织。正如网络监督组织 Citizen Lab 研究员 John Scott-Railton 所说:
雇佣骇客虽然没有由-支持的间谍团体那么受关注,但不得不承认“网络雇佣军”的服务已经辐射到各个领域。我们的调查发现,没有任何部门可以幸免。
根据“目标列表”,在 BellTroX 瞄准的数千人中,有几十个人未回复邮件或拒绝发表评论,究竟有多少人上钩目前也难以获知。
陷入“黑暗盆地”
与此同时,就这家公司潜在的骇客行为,相关监督机构也出具了详细的报告进行佐证。
值得一提的是,做为网络监督组织,Citizen Lab 研究人员用两年多的时间摸索、厘清了骇客组织的内幕,终于在当地时间 2020 年 6 月 9 日发布了相关的重量级报告。
报告指出,“黑暗盆地”(Dark Basin)是一个雇佣骇客组织,目标是六大洲的数千名个人(如高级政客、-检察官、企业 CEO、新闻工作者和人权维护者)和数百家机构(包括非营利组织和对冲基金等行业),Citizen Lab 也将其定位为网络钓鱼幕后组织。
“黑暗盆地”广泛针对美国的非营利组织,其中就包括从事名为 #ExxonKnew 活动的非营利组织,该组织声称世界最大的非-石油天然气生产商埃克森美孚隐藏了数十年的气候变化资讯。
Citizen Lab 研究员 John Scott-Railton 曾表示:
这是有史以来最大的雇佣间谍活动之一。
值得一提的是,报告指出,Citizen Lab 高度相信 BellTroX 有参与上述组织的间谍活动中。
具体来讲,Citizen Lab 确认部分 BellTroX 员工在测试网址缩写服务时使用个人文档(比如个人简历)做为诱饵内容,这与“黑暗盆地”不谋而合。
如下图所示,LinkedIn 上该公司某一员工的工作职责十分耐人寻味,主要包括了电子邮件渗透、广告推销、企业间谍、声波发射、提供网络情报等。
另外,他们还在社交媒体上发文赞扬攻击技术,并附上含有“黑暗盆地”相关连结的截图。
令人生疑的还有一点,BellTroX 及其员工的相关网页有“Ethical Hacking”(道德骇客)与“Certified Ethical Hacker”(认证道德骇客)的字样,这被 Citizen Lab 视为是一种委婉的线上业务推广。
此外,当地时间 2020 年 6 月 7 日,BellTrox 网站开始提供错误资讯,一些可以表明 BellTroX 与骇客行动有关的贴文和内容也已被删除。
报告也曝出了有关 BellTroX 所有者兼董事 Sumit Gupta 的重要资讯。
2015 年,美国司法部因雇佣骇客计划同时控告了几名美国私人调查员和一名印度人,而这名印度人正是 Sumit Gupta。美国司法部指出,Sumit Gupta 使用了别名 Sumit Vishnoi。虽然 Sumit Gupta 并未有因控告被捕的纪录,但有人使用 Sumit Vishnoi 的名字在网络上发文提到了 BellTroX 公司。
不难看出,上述消息也在很大程度上表明了 Sumit Gupta 与骇客组织千丝万缕的关系。
实际上,获悉相关消息后,路透社也联系了 Sumit Gupta,但 Sumit Gupta 拒绝透露客户资讯,同时也否认存在任何不当行为:
我没有帮助客户访问任何东西,他们向我提供了详细资讯后,我只是帮他们下载邮件。我并不知道一些细节是从何获取的,我只是在为客户提供技术支持罢了。
不过,Citizen Lab 的报告显示,BellTrox 及其员工的 LinkedIn 页面有数百个企业情报人员和各领域私人调查员的背书(注:LinkedIn 有一个 endorsement 功能,类似于对企业、个人技能和专业知识的认可),其中就包括:
- 一位加拿大-官员。
- 一位美国联邦贸易委员会调查员(美国海关和边境巡逻队前约聘调查员)。
- 众多美国各州和地方现任执法官员。
- 众多私人侦探(许多曾在联邦调查局、警察局、军队及其他-部门任职)。
上述为该公司及其员工背书的群体并不一定就和 BellTrox 签订了某种合约,但来自美国知名侦探机构 Bulldog Investigations 的 Bart Santos 向路透社表示,之前印度的骇客服务广告不请自来,其中就有一则广告是自称 BellTroX 前雇员的人发的,主动提出了“数据渗透”和“电子邮件渗透”服务。
实际上,众多侦探、调查员和一家鲜为人知的 IT 公司有较为密切的关系,也侧面反映出 BellTroX 绝不只是一家“全球领先的转录服务提供商”。
- Exclusive: Obscure Indian cyber firm spied on politicians, investors worldwide
(本文由 雷锋网 授权转载;首图来源:pixabay)
延伸阅读:
- 从-到企业都受“骇”,3 个关键数字暴露台湾资安危机
- “Thunderspy 攻击”蠢蠢欲动!骇客只需 5 分钟便能透过 Thunderbolt 窃取 PC 资料
- 比利时研究团队新发现:不上网,骇客利用电脑风扇也能窃取资料
