Kỳ lạ dịch vụ hack... thuê
- Hơn 100 người bị nhóm hacker chiếm đoạt 10 tỷ đồng
- Cuộc chiến chống tội phạm trên không gian mạng: Khi hacker "đu trend"
- Giật mình công cụ cho phép hacker mở khóa iCloud trên iPhone
Dịch vụ không được cung cấp bởi một tổ chức riêng biệt dưới sự bảo trợ của nhà nước, mà có vẻ nó được cung cấp bởi một công ty tư nhân chuyên thực hiện các hoạt động gián điệp mạng thương mại hướng tới các mục tiêu cụ thể nhằm phục vụ cung cấp thông tin, dữ liệu cho các thám tử tư và khách hàng của họ.
Đội ngũ hacker của công ty có tên BellTroX InfoTech, đặt trụ sở tại Delhi, luôn sẵn sàng phục vụ các yêu cầu tấn công mạng của khách hàng. Ngoài ra, nếu khách hàng không cần hacker mà chỉ cần những nền tảng phục vụ các chiến dịch tấn công mạng, BellTroX cũng sẵn sàng phục vụ dưới dạng cho thuê hoặc mua bán.
Trong 7 năm qua, BellTroX đã âm thầm hoạt động trên quy mô toàn cầu. Mục tiêu mà hãng này được thuê hack bao gồm các nhân vật có danh tiếng và hàng trăm tổ chức trên khắp 6 lục địa.
| Sumit Gupta, chủ sở hữu và giám đốc công ty BellTroX InfoTech Services, bên ngoài văn phòng ở New Delhi, ngày 8/6/2020. |
Sau khi được thuê, BellTroX sẽ thay mặt khách hàng tiến hành những cuộc tấn công an ninh mạng vào các mục tiêu được yêu cầu. Khách hàng của BellTroX cũng khá đa dạng, từ các nhà điều tra tư nhân tới các cá nhân - Theo báo cáo mới nhất được công bố bởi phòng nghiên cứu Citizen Lab Đại học Toronto (Canada).
BellTrox– hay còn được biết đến với tên gọi Dark Basin – thường tấn công vào các chính trị gia tên tuổi, quan chức chính phủ, CEO, nhà báo và cả những nhà hoạt động bảo vệ nhân quyền.
Citizen Lab báo cáo: “Trong quá trình điều tra kéo dài nhiều năm, chúng tôi thấy rằng Dark Basin đã thay mặt khách hàng của họ thực hiện những cuộc tấn công nhắm vào các đối thủ có liên quan tới những sự kiện công cộng quy mô lớn, các vụ án hình sự, các giao dịch tài chính, các tin tức nổi bật và cả các chương trình tuyên truyền”. Citizen Lab bắt đầu tiến hành điều tra Dark Basin từ năm 2017 sau khi một nhà báo bị tấn công thông qua công cụ rút ngắn mã nguồn mở URL có tên Phurl.
Các nhà nghiên cứu phát hiện ra rằng hacker đã sử dụng trình rút ngắn URL để ngụy trang ít nhất 27.591 đường liên kết lừa đảo có chứa địa chỉ email của mục tiêu. Ban đầu, nhiều người nghĩ rằng Dark Basin hoạt động dưới sự bảo trợ của một chính phủ nào đó. Tuy nhiên, dựa trên danh sách mục tiêu tấn công đa dạng, phân bổ khắp nơi trên thế giới, các nhà nghiên cứu xác định rằng đây là một công ty cung cấp dịch vụ hack theo nhu cầu.
Năm 2015, Sumit Gupta, chủ sở hữu của BellTroX đã bị truy tố tại California vì tội hack thuê. Hai nhà điều tra tư nhân thừa nhận đã trả tiền cho Gupta để hắn hack tài khoản của một giám đốc tiếp thị. Tuy nhiên, Gupta phủ nhận việc hack và nói rằng ông chưa bao giờ dính dáng với cơ quan thực thi pháp luật.
Gupta khẳng định chỉ từng giúp các nhà điều tra tư nhân tải xuống tin nhắn từ hộp thư đến email sau khi họ cung cấp cho ông chi tiết đăng nhập. Gupta nhấn mạnh: “Tôi không giúp họ truy cập bất cứ thứ gì, tôi chỉ giúp họ tải thư và họ cung cấp cho tôi tất cả các chi tiết. Tôi không biết làm thế nào họ có được những chi tiết này nhưng tôi chỉ giúp họ với sự hỗ trợ kỹ thuật”.
| Trang web giả mạo giống hệt LinkedIn để đánh cắp thông tin của người dùng |
Hoạt động từ một căn phòng nhỏ phía trên một quán trà đã đóng cửa trong một khu bán lẻ phía tây Delhi, BellTroX tấn công các mục tiêu bằng hàng loạt email độc hại. Một số tin nhắn sẽ bắt chước đồng nghiệp hoặc người thân; những người khác đặt ra như yêu cầu đăng nhập Facebook hoặc thông báo đồ họa để hủy đăng ký khỏi các trang web khiêu dâm. Công ty Safkhet Capital có trụ sở tại New York của Fahmi Quadir là một trong số 17 công ty đầu tư bị BellTroX nhắm đến từ năm 2017 đến 2019. Quadir cho biết cô nhận thấy sự gia tăng các email đáng ngờ từ đầu năm 2018, ngay sau khi cô ra mắt quỹ của mình.
Quadir nói: “Ban đầu, nó không có vẻ gì là độc hại cả. Đó chỉ là lá số tử vi rồi sau đó nó leo thang đến khiêu dâm”. Cuối cùng, các tin tặc đã nâng cấp trò chơi của chúng, gửi các tin nhắn có vẻ đáng tin cậy trông giống như chúng đến từ đồng nghiệp, những người nhà đầu tư khác hoặc các thành viên trong gia đình cô.
Tuy nhiên, Quadir tin rằng các cuộc tấn công không thành công. Các nhóm vận động của Mỹ cũng liên tục trở thành mục tiêu. Trong số đó có các tổ chức về quyền kỹ thuật số như Free Press và Fight for the Future. Họ cho biết một số lượng nhỏ tài khoản nhân viên đã bị xâm nhập, nhưng mạng lưới của các tổ chức rộng hơn không bị ảnh hưởng.
Timothy Karr, giám đốc Free Press, cho biết tổ chức của ông “nhìn thấy sự gia tăng trong các nỗ lực tấn công, bất cứ khi nào chúng tôi tham gia vào các cuộc tranh luận về chính sách công cộng”. Evan Greer, phó giám đốc Fight for the Future, cho biết: “Khi các tập đoàn và chính trị gia có thể thuê lính đánh thuê kỹ thuật số để tấn công những người ủng hộ xã hội dân sự, nó làm suy yếu quá trình dân chủ của chúng tôi”.
Người ta không rõ vì sao BellTroX vẫn được tiếp tục hoạt động cho tới tận bây giờ. Hiện tại, Citizen Lab đã gửi cảnh báo tới hàng trăm tổ chức cùng những cá nhân đã và đang trở thành nạn nhân của BellTroX. Báo cáo của Citizen Lab cũng đã được gửi tới Bộ Tư pháp Mỹ (DOJ) sau khi nhận được yêu cầu giúp đỡ từ một số nạn nhân.
Công ty an ninh mạng NortonLifeLock cũng đồng thời tiến hành một cuộc điều tra song song với tên gọi là “Mercenary Amanda” nghiên cứu các hoạt động của Dark Basin, và đã đưa ra một danh sách bao gồm các chỉ số lần theo dấu vết tấn công trên hệ thống của nhóm tin tặc này.