Канадская компания Citizen Lab сообщила о свидетельствах фишинговых взломов, нацеленных на публичных личностей — от политических активистов и олигархов до юристов и генеральных директоров компаний. Взломами занималась группа Dark Basin, которой удалось за семь лет скомпрометировать по меньшей мере десять тысяч почтовых ящиков по всему миру.
По словам исследователей кибербезопасности, они обнаружили связь между хакерами Dark Basin и индийской фирмой BellTroX InfoTech Services. Они утверждают, что группа проводила коммерческий шпионаж по заказу против лиц, вовлечённых в громкие публичные мероприятия, уголовные дела, финансовые сделки, появлявшихся в новостях и работающих на пропаганду — а также была связана с нефтяной компанией ExxonMobil, которую обвиняют в публичном преуменьшении угрозы глобального потепления.
Citizen Lab обвинили компанию и её директора Сумита Гупту в шпионаже против политиков, журналистов, активистов и многих других. Часто эти лица участвовали в судебных процессах или бизнес-сделках — специалисты считают, что хакеры пытались найти информацию, которая помогла бы оказать на них давление. Кроме того, по данным Reuters, расследование против BellTroX InfoTech Services ведут правоохранительные органы США. Хакеры шпионили за правительственными чиновниками в Европе, владельцами казино на Багамских островах и крупными инвестиционными компаниями в Соединённых Штатах, например, Kohlberg Kravis Roberts (KKR) и Muddy Waters Research, пишет газета.
Исследователи кибербезопасности пишут, что установить страну, откуда проводилась фишинговая рассылка, удалось благодаря часовому поясу — все письма были отправлены в обычные рабочие часы для Индии в +5,30 по Гринвичу. Кроме того, сокращённые URL-адреса, которые злоумышленники использовали для фишинговых ссылок, имели в своём составе имена людей, характерные для Индии: Холи, Ронгали и Почанчи. После того, как специалисты обнаружили полноразмерные URL-адреса, были найдены и адреса электронной почты целей. Хакеры из BellTrox также оставили в открытом доступе «копии своих исходных кодов фишингового комплекта, а также файлы журналов, показывающие активность тестирования». Исследователи из Citizen Lab утверждают, что они использовали поддельные веб-страницы Gmail, Facebook, Yahoo и других сервисов.
Помимо прочего, специалисты заявляют, что BellTroX сотрудничала с нефтегазовой компанией ExxonMobil: по их словам, хакеры с особым упорством работали над попытками взлома сотрудников некоммерческих организаций, работающих над кампанией с хэштегом #ExxonKnew. Этот хэштег был запущен в соцсетях после того, как генеральный прокурор США подал в суд на компанию, утверждая, что она публично преуменьшает угрозу глобального потепления, в частном порядке рассматривая её как серьёзную угрозу для бизнеса. В то же время ExxonMobil категорически отрицает все обвинения, заявляя, что это попытка шантажа компании со стороны конкурентов.
Заказчиков взломов Reuters выяснить не удалось. Сам Сумит Гупта в телефонном разговоре с журналистами заявил, что его компания не совершала никаких правонарушений, а также отказался рассказать, кто его нанял на эту работу. В Министерстве юстиции США не стали комментировать информацию о расследовании против индийской фирмы.