De dreiging die gepaard gaat met door de staat gesteunde hackgroepen is de laatste tijd goed onderzocht en beschreven, maar er is een andere, even gevaarlijke reeks tegenstanders die jarenlang relatief in de schaduw opereerde.
Dit zijn hack-for-hire-groepen die gespecialiseerd zijn in het inbreken in systemen en het stelen van e-mail en andere gegevens als een service. Hun klanten kunnen privédetectives, advocatenkantoren, zakelijke rivalen en anderen zijn die niet de capaciteiten hebben om deze aanvallen alleen uit te voeren. Dergelijke cyberhuurlingen maken vaak openlijk reclame voor hun diensten en richten zich op elke entiteit die van belang is voor hun klanten, in tegenstelling tot door de staat gesteunde APT-actoren (Advanced Persistent Threat), die de neiging hebben om onopvallend te zijn en specifieke missies en een strakke focus op het doelwit hebben.
Onderzoekers van de Threat Analysis Group (TAG) van Google hebben deze week een rapport uitgebracht over de dreiging, met behulp van hack-for-hire ecosystemen in India, Rusland en de Verenigde Arabische Emiraten als voorbeelden van de vruchtbare aard van de criminele activiteit. De TAG-onderzoekers identificeerden de diensten die worden aangeboden door cyberhuurlingen als verschillend van die aangeboden door bewakingsleveranciers die tools en mogelijkheden verkopen die anderen, zoals inlichtingendiensten en wetshandhavers, kunnen gebruiken.
Breed scala aan doelen
"De reikwijdte van doelen in hack-for-hire-campagnes staat in contrast met veel door de overheid gesteunde operaties, die vaak een duidelijkere afbakening van missie en doelen hebben", zei Shane Huntley, directeur van Google TAG, in een blog donderdag.
Als voorbeeld verwees hij naar een recente operatie die Google opmerkte, waarbij een Indiase hack-for-hire-outfit zich richtte op een IT-bedrijf in Cyprus, een winkelbedrijf in Israël, een financieel technologiebedrijf in de Balkan en een academische entiteit in Nigeria. In andere campagnes heeft Google waargenomen dat deze groepen zich richten op mensenrechtenverdedigers, journalisten en politieke activisten.
"Ze voeren ook bedrijfsspionage uit, waardoor de rol van hun klanten handig wordt verdoezeld", schreef Huntley.
Het rapport van Google over hack-for-hire-activiteiten viel samen met een uitgebreid onderzoeksrapport van Reuters over hoe partijen die betrokken zijn bij rechtszaken de afgelopen jaren ingehuurde Indiase cyberhuurlingen om informatie van de andere kant te stelen die hen een voorsprong zou geven in de strijd.
Reuters zei dat het in staat was om ten minste 35 gevallen te identificeren die teruggaan tot 2013, toen iemand die betrokken was bij een rechtszaak Indiase hackers inhuurde om informatie te verkrijgen van de entiteit waartegen ze procedeerden. Een daarvan betrof een juridische strijd van 1.5 miljard dollar tussen de Nigeriaanse regering en de erfgenamen van een Italiaanse zakenman over de controle over een oliemaatschappij.
In elk van deze gevallen stuurden de hackers phishing-e-mails naar gerichte slachtoffers met malware voor het stelen van inloggegevens voor hun e-mailaccounts en andere gegevens.
Talloze slachtoffers van hacking-for-hire
Reuters zei dat het ongeveer 75 Amerikaanse en Europese bedrijven, drie dozijn belangengroepen en tal van zakenlieden in westerse landen heeft geïdentificeerd die het doelwit waren van deze aanvallen. In totaal hebben Indiase hackers in de periode van zeven jaar waarop het onderzoek zich richtte, zo'n 80,000 phishing-e-mails verzonden naar 13,000 doelen in meerdere landen.
Onder degenen wiens e-mailinboxen de aanvallers probeerden te openen, waren ten minste 1,000 advocaten bij 108 advocatenkantoren, zoals Baker McKenzie en Cooley en Cleary Gottlieb in de VS en Clyde & Co. en LALIVE in Europa.
Reuters beschreef het rapport als gebaseerd op informatie uit interviews met slachtoffers, Amerikaanse regeringsfunctionarissen, advocaten en gerechtelijke documenten uit zeven landen. Ook hielp bij het onderzoek een database met die tienduizenden e-mails die door de Indiase hackers waren verzonden en die Reuters zei te hebben ontvangen van twee e-mailproviders.
"De database is in feite de hitlijst van hackers en het onthult een tot op de seconde nauwkeurig beeld van naar wie de cyberhuurlingen tussen 2013 en 2020 phishing-e-mails hebben gestuurd", aldus het verhaal van Reuters.
Onder de Indiase entiteiten die Reuters in haar rapport noemde, waren Appin, BellTroX en Cyberoot – die op een gegeven moment allemaal infrastructuur en personeel deelden.
Cybercampagnes volgen
Google zei dat het sinds 2012 ook Indiase hack-for-hire-operators volgt, waarvan er vele waren geassocieerd met Appin en BellTroX. Veel van de activiteit was gericht op organisaties in de overheid, telecom en gezondheidszorg in de VAE, Saoedi-Arabië en Bahrein, volgens TAG.
Het rapport van Google beschrijft ook hack-for-hire-operators die TAG-onderzoekers hebben gevolgd in Rusland en de VAE. Een van hen is een eerder bekende Russische acteur die anderen Void Balaur hebben genoemd, die heeft bespioneerd duizenden individuen en gestolen privé-informatie over hen voor verkoop aan verschillende klanten.
Het is niet de eerste keer dat beveiligingsonderzoekers waarschuwen voor hackers-for-hire. Trend Micro rapporteerde bijvoorbeeld over de Nietig Balaur bedreiging in november 2021. Een jaar eerder rapporteerden BlackBerry-beveiligingsonderzoekers over een hack-for-hire-groep die ze hadden waargenomen genaamd CostaRicto, die zich richtte op slachtoffers in meerdere landen, waarvan vele in Zuid-Azië.
"Het hack-for-hire-landschap is vloeiend, zowel in de manier waarop de aanvallers zichzelf organiseren als in het brede scala aan doelen die ze nastreven in een enkele campagne in opdracht van uiteenlopende klanten", schreef Huntley van TAG.
