Un grupo indio de piratas informáticos a sueldo atacó a EE. UU., China, Myanmar, Pakistán, Kuwait y otros países como parte de una amplia operación de espionaje, vigilancia y perturbación durante más de una década.
El Seguridad del software de aplicaciones (también conocido como Appin Security Group), según un análisis en profundidad de SentinelOne, comenzó como una startup educativa que ofrecía programas de capacitación en seguridad ofensiva, mientras llevaba a cabo operaciones de piratería encubierta desde al menos 2009.
En mayo de 2013, ESET reveló una serie de ataques cibernéticos dirigidos a Pakistán con malware para robar información. Si bien la actividad se atribuyó a un grupo rastreado como Hangover (también conocido como Labor de retazos o Zinc Emerson), la evidencia muestra que la infraestructura es propiedad de Appin y está bajo su control.
«El grupo ha llevado a cabo operaciones de piratería contra personas de alto valor, organizaciones gubernamentales y otras empresas involucradas en disputas legales específicas,» Seguridad de SentinelOne Tom Hegel dicho en un análisis exhaustivo publicado la semana pasada.
«Las operaciones de piratería informática y la organización general de Appin parecen en muchos momentos informales, torpes y técnicamente toscas; sin embargo, sus operaciones resultaron ser muy exitosas para sus clientes, impactando los asuntos mundiales con un éxito significativo».
Los hallazgos se basan en datos no públicos obtenidos por Reuters, que denunció a Appin por orquestar ataques de robo de datos a escala industrial contra líderes políticos, ejecutivos internacionales, figuras del deporte y otros. La compañía, en respuesta, desestimó su conexión con el negocio de piratería informática.
Uno de los servicios principales ofrecidos por Appin fue una herramienta «MyCommando» (también conocida como GoldenEye o Commando) que permitía a sus clientes iniciar sesión para ver y descargar datos específicos de la campaña y actualizaciones de estado, comunicarse de forma segura y elegir entre varias opciones de tareas que van desde desde la investigación de código abierto hasta la ingeniería social y una campaña troyana.
Los ataques contra China y Pakistán son la confirmación de que un grupo mercenario de origen indio ha sido atrapado para llevar a cabo ataques patrocinados por el Estado. Appin también ha sido identificado como detrás del software espía macOS conocido como KitM en 2013.
Es más, SentinelOne dijo que también identificó casos de ataques nacionales con el objetivo de robar credenciales de inicio de sesión de cuentas de correo electrónico pertenecientes a sikhs en India y Estados Unidos.
«En una campaña no relacionada, el grupo también utilizó el dominio speedaccelator[.]com para un servidor FTP, que aloja malware utilizado en sus correos electrónicos de phishing maliciosos, uno de los cuales fue utilizado en un individuo indio que luego fue atacado por ModifiedElephant APT», señaló Hegel. Vale la pena señalar que los enlaces de Patchwork a ModifiedElephant fueron identificados previamente por Secureworks.
Además de aprovechar una gran infraestructura procedente de un tercero para la filtración de datos, el comando y control (C2), el phishing y la creación de sitios señuelo, se dice que el oscuro actor ofensivo del sector privado (PSOA) se ha basado en software espía privado. y explotar servicios proporcionados por proveedores privados como Vervata, Vupen y Core Security.
En otra táctica notable, se dice que Appin aprovechó una plataforma de trabajo independiente con sede en California conocida como Elance (ahora llamada Upwork) para comprar malware de desarrolladores de software externos, al mismo tiempo que utilizaba a sus empleados internos para desarrollar una colección personalizada de herramientas de piratería. .
«Los hallazgos de la investigación subrayan la notable tenacidad del grupo y un historial comprobado de ejecución exitosa de ataques en nombre de una clientela diversa», dijo Hegel.
Este acontecimiento se produce cuando Aviram Azari, un investigador privado israelí, fue sentenciado en Estados Unidos a casi siete años de prisión federal por cargos de intrusión informática, fraude electrónico y robo de identidad agravado en relación con un plan global de piratería a sueldo entre noviembre 2014 a septiembre de 2019. Azari fue arrestado en septiembre de 2019.
«Azari poseía y operaba una empresa de inteligencia israelí», dijo el Departamento de Justicia (DoJ). dicho la semana pasada. «Los clientes contrataron a Azari para gestionar ‘Proyectos’ que se describieron como esfuerzos de recopilación de inteligencia pero que, de hecho, eran campañas de piratería informática dirigidas específicamente a ciertos grupos de víctimas».
Aviram también ha sido acusado de utilizar piratas informáticos mercenarios en India, una empresa llamada BellTroX Infotech (también conocida como amanda o Cuenca oscura), para ayudar a los clientes a obtener ventaja en batallas judiciales mediante ataques de phishing y, en última instancia, obtener acceso a las cuentas de las víctimas y robar información.
BellTrox fue fundada por Sumit Gupta en mayo de 2013. Reuters revelado en junio de 2022 que antes de lanzar la empresa, Gupta había trabajado para Appin.