這是有史以來最大的雇傭間諜活動(dòng)之一。

近日，路透社獨(dú)家報(bào)道稱，一家名為「BellTroX InfoTech Services」（BellTroX 信息科技服務(wù)）的印度公司為用戶提供黑客服務(wù)，7 年內(nèi)監(jiān)視了超過 1 萬個(gè)電子郵件帳戶，多國政要、行業(yè)大亨、社會團(tuán)體和知名機(jī)構(gòu)都成為其攻擊對象。

BellTroX 是誰？

位于新德里的 BellTroX 并不是一家知名企業(yè)。

雷鋒網(wǎng)從領(lǐng)英獲悉，BellTroX 成立于 2011 年，是醫(yī)院、診所、專家證人、獨(dú)立從業(yè)者和企業(yè)的轉(zhuǎn)錄和聽寫服務(wù)提供商，和飛利浦、奧林巴斯等品牌建立了合作關(guān)系。

在簡介中，雷鋒網(wǎng)留意到了 BellTroX 的一個(gè)修飾詞 one of the World's premier（行業(yè)領(lǐng)軍企業(yè)之一）。據(jù)稱，其技術(shù)團(tuán)隊(duì)有多年的聽寫經(jīng)驗(yàn)，在醫(yī)療、法律和商業(yè)轉(zhuǎn)錄領(lǐng)域受過專業(yè)的訓(xùn)練，旨在通過與客戶建立長期的合作關(guān)系，提供高質(zhì)量、低成本的解決方案。

但按照該公司三名前雇員和一名外部研究人員的說法以及網(wǎng)絡(luò)上的證據(jù)，這家公司并不像簡介中的那么簡單——BellTroX 為用戶提供黑客服務(wù)，主要瞄準(zhǔn)了歐洲政府官員、巴哈馬賭博業(yè)大亨和美國知名投資機(jī)構(gòu)（比如私募股權(quán)巨頭 KKR 和曾用 20 多天讓一家公司退市的著名做空機(jī)構(gòu)渾水 Muddy Waters）。

對此，渾水創(chuàng)始人 Carson Block 表示：

得知我們很可能被 BellTroX 的客戶當(dāng)做攻擊對象，我感到失望，但并不驚訝。

另外幾名知情人士向路透社透露，美國執(zhí)法部門已經(jīng)開始了對 BellTroX 的調(diào)查。

量產(chǎn)惡意郵件的小作坊

那么，這樣一家“掛羊頭賣狗肉”的雇傭黑客公司，究竟是如何運(yùn)作的呢？

雷鋒網(wǎng)了解到，BellTroX 的辦公室其實(shí)是一家商店上面的一個(gè)小房間，一封封惡意電子郵件就是從這個(gè)小作坊發(fā)出去的。

有些信息會模仿攻擊對象的同事或親戚發(fā)送，有些則是 Facebook 登錄請求或者退訂色情網(wǎng)站的提示。

在路透社的采訪中，紐約做空公司 Safkhet Capital 創(chuàng)始人 Fahmi Quadir 表示：

啟動(dòng)基金后不久的 2018 年初，電子郵件數(shù)量就開始激增。一開始的郵件和星座有關(guān)，看上去不像是惡意郵件，后來慢慢就開始升級到色情了。后來，郵件質(zhì)量有所提高，黑客開始模仿同事、家人或其他賣空機(jī)構(gòu)。

事實(shí)上，Safkhet Capital 是 2017-2019 年 BellTroX 瞄準(zhǔn)的 17 家投資公司之一。

同時(shí)，一些美國宣傳團(tuán)體也不能幸免——比如兩個(gè)支持網(wǎng)絡(luò)中立的組織“Free Press”（新聞自由）和“Fight for the Future”（為未來而戰(zhàn)）。

對此，F(xiàn)ight for the Future 組織副主任 Evan Greer 表示：

當(dāng)公司或政客雇傭這樣的黑客組織來瞄準(zhǔn)民間團(tuán)體時(shí)，我們的民主進(jìn)程也便遭到了破壞。

同時(shí)路透社報(bào)道稱，此前從黑客使用的匿名在線服務(wù)提供商處獲取了大量數(shù)據(jù)，這些數(shù)據(jù)是一個(gè)包含了目標(biāo)群體和具體時(shí)間的“命中列表”。

路透社通過對目標(biāo)群體收到的電子郵件進(jìn)行審查發(fā)現(xiàn)，BellTroX 在 2013 年至 2020 年間發(fā)送了數(shù)萬條惡意信息，旨在誘使受害者放棄密碼。

據(jù)了解，路透社在“命中列表”里看到了南非法官、墨西哥政治人物、法國律師、美國環(huán)保組織。正如互聯(lián)網(wǎng)監(jiān)督組織 Citizen Lab 研究員 John Scott-Railton 所說：

雇傭黑客雖然沒有由政府支持的間諜團(tuán)體那么受關(guān)注，但不得不承認(rèn)“網(wǎng)絡(luò)雇傭軍”的服務(wù)已經(jīng)輻射到各個(gè)領(lǐng)域。我們的調(diào)查發(fā)現(xiàn)，沒有任何部門可以幸免。 

根據(jù)“命中列表”，在 BellTroX 瞄準(zhǔn)的數(shù)千人中，有幾十個(gè)人未回復(fù)郵件或拒絕發(fā)表評論，究竟有多少人上鉤目前也難以獲知。

陷入「黑暗盆地」

與此同時(shí)，就這一公司潛在的黑客行為，相關(guān)監(jiān)督機(jī)構(gòu)也出具了詳細(xì)的報(bào)告進(jìn)行佐證。

值得一提的是，作為互聯(lián)網(wǎng)監(jiān)督組織，Citizen Lab 研究人員用兩年多的時(shí)間摸索、厘清了黑客組織的內(nèi)幕，終于在當(dāng)?shù)貢r(shí)間 2020 年 6 月 9 日重磅發(fā)布了相關(guān)報(bào)告。

報(bào)告指出，「黑暗盆地」（Dark Basin）是一個(gè)雇傭黑客組織，目標(biāo)是六大洲的數(shù)千名個(gè)人（如高級政客、政府檢察官、企業(yè) CEO、新聞工作者和人權(quán)維護(hù)者）和數(shù)百家機(jī)構(gòu)（包括非營利組織和對沖基金等行業(yè)），Citizen Lab 也將其定位為網(wǎng)絡(luò)釣魚幕后組織。

「黑暗盆地」廣泛針對美國的非營利組織，其中就包括從事名為 #ExxonKnew 的活動(dòng)的非營利組織，該組織聲稱世界最大的非政府石油天然氣生產(chǎn)商?？松梨陔[藏了數(shù)十年的氣候變化信息。

Citizen Lab 研究員 John Scott-Railton 曾表示：

這是有史以來最大的雇傭間諜活動(dòng)之一。

值得一提的是，報(bào)告指出，Citizen Lab 高度相信 BellTroX 參與到了上述組織的間諜活動(dòng)中。

具體來講，Citizen Lab 確認(rèn)部分 BellTroX 員工在測試網(wǎng)址縮寫服務(wù)時(shí)使用個(gè)人文檔（比如個(gè)人簡歷）作為誘餌內(nèi)容，這與「黑暗盆地」“不謀而合”。

如下圖所示，領(lǐng)英上該公司一員工的工作職責(zé)十分耐人尋味，主要包括了電子郵件滲透、廣告推銷、企業(yè)間諜、聲波發(fā)射、提供網(wǎng)絡(luò)情報(bào)等。

另外，他們還在社交媒體上發(fā)帖贊揚(yáng)了攻擊技術(shù)，并附上了含有「黑暗盆地」相關(guān)鏈接的截圖。

令人生疑的還有一點(diǎn)， BellTroX 及其員工的相關(guān)網(wǎng)頁有“Ethical Hacking”（道德黑客） and “Certified Ethical Hacker”（認(rèn)證道德黑客）的字樣，這被 Citizen Lab 視為是一種委婉的在線業(yè)務(wù)推廣。

此外，當(dāng)?shù)貢r(shí)間 2020 年 6 月 7 日，BellTrox 網(wǎng)站開始提供錯(cuò)誤信息，一些可以表明 BellTroX 與黑客行動(dòng)有關(guān)的帖子和內(nèi)容也已被刪除。

報(bào)告也曝出了有關(guān) BellTroX 所有者兼董事 Sumit Gupta 的重要信息。

2015 年，美國司法部因雇傭黑客計(jì)劃同時(shí)控告了幾名美國私人調(diào)查員和一名印度人。而這位印度人正是 Sumit Gupta。

美國司法部指出，Sumit Gupta 使用了別名 Sumit Vishnoi。雖然 Sumit Gupta 并未有因控告被捕的記錄，但有人使用 Sumit Vishnoi 的名字在網(wǎng)上發(fā)帖提到了 BellTroX 公司。

不難看出，上述信息也在很大程度上表明了 Sumit Gupta 與黑客組織千絲萬縷的關(guān)系。

實(shí)際上，獲悉相關(guān)消息后，路透社也聯(lián)系了 Sumit Gupta（下圖），但 Sumit Gupta 拒絕透露客戶信息，同時(shí)也否認(rèn)存在任何不當(dāng)行為：

我沒有幫助客戶訪問任何東西，他們向我提供了詳細(xì)信息后，我只是幫他們下載郵件。我并不知道一些細(xì)節(jié)是從何獲取的，但我只是在為客戶提供技術(shù)支持罷了。

不過，Citizen Lab 的報(bào)告顯示，BellTrox 及其員工的領(lǐng)英頁面有數(shù)百個(gè)企業(yè)情報(bào)人員和各領(lǐng)域私人調(diào)查員的背書（雷鋒網(wǎng)注：領(lǐng)英有一個(gè) endorsement 功能，類似于對企業(yè)、個(gè)人技能和專業(yè)知識的認(rèn)可），其中就包括：

• 一位加拿大政府官員；

• 一位美國聯(lián)邦貿(mào)易委員會調(diào)查員（前美國海關(guān)和邊境巡邏隊(duì)合同制調(diào)查員）；

• 眾多美國各州和地方現(xiàn)任執(zhí)法官員；

• 眾多私人偵探（許多曾在聯(lián)邦調(diào)查局、警察局、軍隊(duì)及其他政府部門任職）。

無疑，上述為該公司及其員工背書的群體并不一定就和 BellTrox 簽訂了某種合同，但來自美國知名偵探機(jī)構(gòu) Bulldog Investigations 的 Bart Santos 向路透社表示，此前印度的黑客服務(wù)廣告不請自來，其中就有一則廣告是自稱 BellTroX 前雇員的人發(fā)的，主動(dòng)提出了“數(shù)據(jù)滲透”和“電子郵件滲透”服務(wù)。

實(shí)際上，眾多偵探、調(diào)查員和一家鮮為人知的 IT 公司有較為密切的關(guān)系，也側(cè)面反映出 BellTroX 絕不只是一家“全球領(lǐng)先的轉(zhuǎn)錄服務(wù)提供商”。

引用來源：

https://www.reuters.com/article/us-india-cyber-mercenaries-exclusive/exclusive-obscure-indian-cyber-firm-spied-on-politicians-investors-worldwide-idUSKBN23G1GQ

https://www.linkedin.com/company/belltrox-infotech-services-pvt-ltd/about/

https://citizenlab.ca/2020/06/dark-basin-uncovering-a-massive-hack-for-hire-operation/

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。