Угроза, связанная с хакерскими группами, поддерживаемыми государством, в последнее время хорошо изучена и задокументирована, но есть и другая, не менее опасная группа противников, которая в течение многих лет действовала относительно в тени.

Это группы по найму, которые специализируются на взломе систем и краже электронной почты и других данных в качестве услуги. Их клиентами могут быть частные сыщики, юридические фирмы, конкуренты по бизнесу и другие лица, у которых нет возможности проводить такие атаки самостоятельно. Такие кибер-наемники часто открыто рекламируют свои услуги и нацеливаются на любую организацию, представляющую интерес для их клиентов, в отличие от поддерживаемых государством субъектов продвинутых постоянных угроз (APT), которые, как правило, действуют скрытно, имеют конкретные миссии и четко сфокусированы на цели.

Исследователи из группы анализа угроз Google (TAG) на этой неделе опубликовали отчет об угрозе, используя взломанные экосистемы в Индии, России и Объединенных Арабских Эмиратах как примеры плодовитости преступной деятельности. Исследователи TAG определили, что услуги, предлагаемые кибернаемниками, отличаются от услуг, предлагаемых поставщиками систем видеонаблюдения, которые продают инструменты и возможности для других, таких как спецслужбы и правоохранительные органы.

Широкий спектр целей

«Широта целей в кампаниях по найму отличается от многих операций, поддерживаемых правительством, которые часто имеют более четкое определение миссии и целей», — сказал Шейн Хантли, директор Google TAG, в своем блоге в четверг.

В качестве примера он указал на недавнюю операцию, которую наблюдала Google, когда индийская организация по найму атаковала ИТ-компанию на Кипре, торговую компанию в Израиле, финансовую технологическую компанию на Балканах и научное учреждение в Нигерии. В других кампаниях Google наблюдал, как эти группы нацеливались на правозащитников, журналистов и политических активистов.

«Они также занимаются корпоративным шпионажем, ловко скрывая роль своих клиентов», — написал Хантли.

Отчет Google о взломе по найму совпал с длинным отчетом о расследовании Reuters о том, как в последние годы вели себя стороны, участвующие в судебном процессе. нанял индийских кибернаемников чтобы украсть информацию с другой стороны, которая даст им преимущество в битве.

Агентство Reuters заявило, что ему удалось выявить по крайней мере 35 случаев, начиная с 2013 года, когда кто-то, участвовавший в судебном процессе, нанимал индийских хакеров для получения информации от организации, против которой они судились. Один из них касался судебной тяжбы на 1.5 миллиарда долларов между правительством Нигерии и наследниками итальянского бизнесмена за контроль над нефтяной компанией.

В каждом из этих случаев хакеры отправляли фишинговые электронные письма целевым жертвам с вредоносными программами для кражи учетных данных их учетных записей электронной почты и других данных.

Многочисленные жертвы взлома по найму

Агентство Reuters заявило, что оно выявило около 75 американских и европейских компаний, три десятка правозащитных групп и множество руководителей предприятий в западных странах, которые стали целями этих атак. В целом за семилетний период, который был в центре внимания расследования, индийские хакеры отправили около 80,000 13,000 фишинговых писем XNUMX XNUMX целей в разных странах.

Среди тех, к почтовым ящикам которых злоумышленники пытались получить доступ, было не менее 1,000 адвокатов из 108 юридических фирм, таких как Baker McKenzie и Cooley and Cleary Gottlieb в США и Clyde & Co. и LALIVE в Европе.

Агентство Reuters заявило, что отчет основан на информации, полученной в ходе интервью с потерпевшими, представителями правительства США, юристами и судебными документами из семи стран. Также в расследовании помогла база данных десятков тысяч электронных писем, отправленных индийскими хакерами, которые, по словам Reuters, были получены от двух провайдеров электронной почты.

«База данных фактически представляет собой список целей хакеров, и она позволяет с точностью до секунды взглянуть на то, кому кибернаемники отправляли фишинговые электронные письма в период с 2013 по 2020 год», — говорится в статье Reuters.

Среди индийских организаций, упомянутых Reuters в своем отчете, были Appin, BellTroX и Cyberoot — все они в какой-то момент имели общую инфраструктуру и персонал.

Отслеживание киберкампаний

Google заявил, что с 2012 года также отслеживает индийских операторов по найму, многие из которых были связаны с Appin и BellTroX. Саудовская Аравия и Бахрейн, по данным TAG.

В отчете Google также описаны операторы по найму, которых исследователи TAG отслеживают в России и ОАЭ. Один из них — ранее известный российский актер, которого другие называют Void Balaur. шпионил за тысячами людей и украденная личная информация о них для продажи различным клиентам.

Это не первый случай, когда исследователи безопасности предупреждают о наемных хакерах. Trend Micro, например, сообщила о Угроза Балауров Бездны в ноябре 2021 года. Годом ранее исследователи безопасности BlackBerry сообщили о наблюдаемой ими группе взломщиков под названием Коста-Рикто, целью которого были жертвы в нескольких странах, многие из которых находились в Южной Азии.

«Схема взлома по найму изменчива как в плане самоорганизации злоумышленников, так и в отношении широкого круга целей, которые они преследуют в рамках одной кампании по указанию разрозненных клиентов», — пишет Хантли из TAG.