Cuenca oscura

Organización de delitos cibernéticos

Dark Basin es un grupo de hackers a sueldo, descubierto en 2017 por Citizen Lab . ^[1] Se sospecha que actuaron en nombre de empresas como Wirecard ^[2] y ExxonMobil . ^[3]

Fondo

En 2015, Matthew Earl, socio gerente de ShadowFall Capital & Research, comenzó a estudiar Wirecard AG con la esperanza de venderla en corto . Wirecard acababa de anunciar la compra de Great Indian Retail Group por 254 millones de dólares, ^[4] lo que a Earl le pareció demasiado caro. En febrero de 2016, comenzó a escribir públicamente sobre sus descubrimientos bajo el alias Zatarra Research & Investigations, ^[5] acusando a Wirecard de corrupción, fraude corporativo y lavado de dinero . ^[6]

Poco después, la identidad de Zatarra Research & Investigations se reveló en línea, junto con imágenes de vigilancia de Earl frente a su casa. Earl se dio cuenta rápidamente de que lo estaban siguiendo. Los empleados de Jones Day , un bufete de abogados que representa a Wirecard, ^[7] vinieron a visitar a Earl y le entregaron una carta, acusándolo de colusión, conspiración, difamación, calumnia y manipulación del mercado. ^[8] Earl también comenzó a recibir correos electrónicos de phishing dirigidos , aparentemente de sus amigos y familiares. ^[2] En la primavera de 2017, Earl compartió esos correos electrónicos con Citizen Lab , un laboratorio de investigación especializado en el control de la información. ^[8]

Investigación de Citizen Lab

Hallazgos iniciales

Citizen Lab descubrió que los atacantes estaban usando un acortador de URL personalizado que permitía la enumeración , lo que les daba acceso a una lista de 28.000 URL . Algunas de esas URL redirigían a sitios web similares a Gmail , Facebook , LinkedIn , Dropbox o varios correos web: cada página personalizada con el nombre de la víctima, solicitando al usuario que volviera a ingresar su contraseña. ^[9]

Citizen Lab bautizó a este grupo de hackers como 'Dark Basin' e identificó varios clusters entre las víctimas: ^[1]

• Organizaciones ambientales estadounidenses vinculadas a la campaña #ExxonKnew : ^[10] Rockefeller Brothers Fund , Climate Investigations Center, Greenpeace , Center for International Environmental Law , Oil Change International, Public Citizen , Conservation Law Foundation , Union of Concerned Scientists , M+R Strategic Services o 350.org
• Medios de comunicación estadounidenses
• Fondos de cobertura, vendedores en corto y periodistas financieros
• Bancos y empresas de inversión internacionales
• Despachos jurídicos en EE. UU. , Reino Unido , Israel , Francia , Bélgica , Noruega , Suiza , Islandia , Kenia y Nigeria
• Empresas petroleras y energéticas
• Oligarcas de Europa del Este, Europa Central y Rusia
• Personas con buenos recursos involucradas en divorcios u otros asuntos legales.

La variedad de objetivos hizo pensar a Citizen Lab en una actividad mercenaria. El laboratorio de investigación confirmó que algunos de estos ataques tuvieron éxito.

Enlaces con la India

Varias pistas permitieron a Citizen Lab afirmar con gran seguridad que Dark Basin tenía su base en la India . ^[1]

Horas de trabajo

Las marcas de tiempo en los correos electrónicos de phishing de Dark Basin coincidían con el horario laboral en India, que solo tiene una zona horaria: UTC+5:30 . ^[1]

Referencias culturales

Las instancias del servicio de acortamiento de URL utilizadas por Dark Basin tenían nombres relacionados con la cultura india : Holi , Rongali y Pochanchi. ^[1]

Kit de phishing

Dark Basin publicó en línea el código fuente de su kit de phishing, incluidos algunos archivos de registro. El código fuente estaba configurado para imprimir marcas de tiempo en la zona horaria de la India . El archivo de registro, que mostraba cierta actividad de prueba, incluía una dirección IP con sede en la India. ^[1]

Enlaces a BellTroX

Citizen Lab cree con gran confianza que BellTroX, también conocida como BellTroX InfoTech Services y BellTroX D|G|TAL Security, es la empresa detrás de Dark Basin. ^[1] BellTroX, una empresa con sede en Delhi , ^[11] anuncia en su sitio web que realiza actividades como pruebas de penetración , piratería ética certificada y transcripción médica. Los empleados de BellTroX son descritos como ruidosos ^[1] y a menudo publicaban públicamente sobre sus actividades ilegales. ^[1] El fundador de BellTroX, Sumit Guptra ^[12], ha sido previamente acusado y procesado en los Estados Unidos por un plan de piratería informática a sueldo en nombre de ViSalus . ^[13]

BellTroX utilizó el CV de uno de sus empleados para probar el acortador de URL de Dark Basin. También publicaron capturas de pantalla de enlaces a la infraestructura de Dark Basin. ^[1]

Cientos de personas que trabajan en inteligencia corporativa e investigación privada respaldaron a BellTroX en LinkedIn. Se sospecha que algunos de ellos son posibles clientes. Entre esas personas se encuentran un funcionario del gobierno canadiense, un investigador de la Comisión Federal de Comercio de los Estados Unidos , agentes de la ley e investigadores privados con funciones anteriores en el FBI , la policía, el ejército y otras ramas del gobierno. ^[1]

El 7 de junio de 2020, BellTroX eliminó su sitio web. ^[1] En diciembre de 2021, Meta ( Facebook ) prohibió a BellTroX como un grupo de "mercenarios cibernéticos". ^{[14] [15]}

Reacciones

Tanto Wirecard como ExxonMobil han negado cualquier implicación con Dark Basin. ^{[16] [17]}

Referencias

1. Scott-Railton, John; Hulcoop, Adam; Razzak, Bahr Abdul; Marczak, Bill; Anstis, Siena; Deibert, Ron (9 de junio de 2020). "Dark Basin: el descubrimiento de una operación masiva de piratería informática a sueldo". Citizen Lab . Archivado desde el original el 30 de septiembre de 2020. Consultado el 28 de febrero de 2021 .
2. Rosin, Hanna (9 de junio de 2020). "Dark Basin: organización global de piratería informática a sueldo que atacó a miles de personas a lo largo de los años". All Things Considered . NPR . Archivado desde el original el 15 de noviembre de 2020 . Consultado el 28 de febrero de 2021 .
3. Murphy, Paul (9 de junio de 2020). «Los piratas informáticos pagados atacaron a miles de personas y cientos de instituciones en todo el mundo, según un informe». Financial Times . Archivado desde el original el 26 de junio de 2020 . Consultado el 28 de febrero de 2021 – a través de Los Angeles Times .
4. "Wirecard compra el negocio de pagos de Great Indian Retail Group". Reuters . 2015-10-27. Archivado desde el original el 2021-03-01 . Consultado el 2021-02-28 .
5. O'Donnell, John (16 de julio de 2020). "La larga y solitaria campaña de Alemania: la lucha contra los vendedores en corto de Wirecard". Reuters . Archivado desde el original el 19 de noviembre de 2020. Consultado el 28 de febrero de 2021 .
6. Davies, Paul J. (22 de junio de 2020). "Los vendedores en corto ganaron 2.600 millones de dólares con la caída de Wirecard". MarketWatch . Archivado desde el original el 5 de febrero de 2021 . Consultado el 28 de febrero de 2021 .
7. Davies, Paul J.; Chung, Juliet (20 de junio de 2020). "Los vendedores en corto ganaron 2.600 millones de dólares con la caída de Wirecard, pero no sin cicatrices" . The Wall Street Journal . Archivado desde el original el 20 de junio de 2020 . Consultado el 28 de febrero de 2021 .
8. "Dark Basin – Diarios de la Darknet". Diarios de la Darknet . 24 de octubre de 2020.
9. Galperin, Eva; Quintin, Cooper (27 de septiembre de 2017). "Phish For the Future". Electronic Frontier Foundation . Archivado desde el original el 16 de enero de 2021. Consultado el 28 de febrero de 2021 .
10. Hong, Nicole; Meier, Barry; Bergman, Ronen (10 de junio de 2020). "Los ambientalistas atacaron a Exxon Mobil. Luego, los piratas informáticos los atacaron a ellos" . The New York Times . Archivado desde el original el 1 de febrero de 2021. Consultado el 28 de febrero de 2021 .
11. Stubbs, Jack; Satter, Raphael; Bing, Christopher (9 de junio de 2020). "Una oscura empresa cibernética india espió a políticos e inversores de todo el mundo". Reuters . Archivado desde el original el 26 de enero de 2021.
12. Kumar, Ankit (9 de junio de 2020). «Dark Basin: una empresa de «piratería a sueldo» con sede en Delhi expuesta por piratear a políticos y organizaciones sin fines de lucro a nivel mundial». India Today . Archivado desde el original el 27 de junio de 2020 . Consultado el 28 de febrero de 2021 .
13. "Investigadores privados acusados ​​de piratería de correo electrónico" (Comunicado de prensa). Fiscal de los Estados Unidos para el Distrito Norte de California . 2015-02-11. Archivado desde el original el 2021-01-07 . Consultado el 2021-02-28 .
14. "Meta publica un nuevo informe sobre amenazas a la industria de la vigilancia por encargo". The Economic Times . 17 de diciembre de 2021. Archivado desde el original el 17 de diciembre de 2021.
15. Dvilyanski, Mike; Agranovich, David; Gleicher, Nathaniel (16 de diciembre de 2021). "Informe sobre amenazas a la industria de la vigilancia por encargo" (PDF) . Meta . Archivado (PDF) del original el 16 de diciembre de 2021.
16. Porter, Jon (10 de junio de 2020). «Los investigadores detallan enormes campañas de piratería informática a sueldo contra los ambientalistas». The Verge . Archivado desde el original el 10 de junio de 2020. Consultado el 28 de febrero de 2021 .
17. Murphy, Paul (9 de junio de 2021). «El Citizen Lab de Toronto descubre la enorme organización de piratas informáticos a sueldo 'Dark Basin', que ha atacado a cientos de instituciones en seis continentes». Financial Times . Archivado desde el original el 25 de enero de 2021 . Consultado el 28 de febrero de 2021 – vía Financial Post .