I ricercatori di sicurezza informatica hanno scoperto una nuova e vasta operazione di hacking per procura. I principali obiettivi sono giornalisti, ONG, attivisti, funzionari governativi, istituzioni finanziarie e altre. Ad agire secondo gli esperti sarebbe un’organizzazione criminale con sede in India. Colpite in tutto il mondo migliaia di persone e centinaia di organizzazioni ed enti di tutti i tipi. Secondo Citizen Lab, dietro questi attacchi ci sarebbe il gruppo di hacker Dark Basin, che da diversi anni è attivo nel settore delle truffe informatiche.

Vicino alla società indiana BellTroX InfoTech Services, il gruppo lavora a detta sua «per conto dei propri clienti contro oppositori coinvolti in eventi pubblici di alto profilo, come cause penali, transazioni finanziarie, giornalismo e settore legale». Sebbene il gruppo abbia preso di mira prevalentemente operatori finanziari e farmaceutici per conto dei propri clienti, questi ha spesso concentrato la sua attività su gruppi di legali e su esponenti della società civile. Fra questi Greenpeace, Union of Concerned Scientists e altri.

Secondo i rapporti di sicurezza informatica, Dark Basin avrebbe cercato informazioni dai gruppi che lavoravano alla campagna #ExxonKnew. La campagna sosteneva come il colosso petrolifero statunitense ExxonMobil avrebbe nascosto informazioni sui cambiamenti climatici per decenni. I punti in comune con BellTrox sono numerosi. Peraltro, il presidente di BellTrox, Sumit Gupta, è stato incriminato nel 2015 per il suo ruolo in uno schema di hacking per procura molto simile a quelli portati avanti dai Dark Basin.

L’attività di phishing avviene sempre in coincidenza con il fuso orario indiano e molti dei servizi di accorciamento degli URL utilizzati dal gruppo - Holi, Rongali e Pochanchi – sono fortemente diffuse nel subcontinente indiano. Ancora più significativo il fatto che alcune persone che dichiarano di lavorare per BellTrox elenchino le proprie attività illecite (come la violazione della posta elettronica, lo spionaggio aziendale ecc.) sul proprio profilo LinkedIn.

Si legge sul report a riguardo di CitizenLab: «Siamo stati in grado di identificare diversi dipendenti BellTroX le cui attività si sono sovrapposte a Dark Basin perché hanno usato documenti personali, incluso il proprio CV, come contenuto esca durante il test dei loro accorciatori di URL. Hanno anche pubblicato post sui social media descrivendo tecniche di attacco contenenti schermate di collegamenti all'infrastruttura tipica dei Dark Basin. BellTroX e i propri dipendenti si nascondono dietro belle parole per promuovere i loro servizi online, come Ethical Hacking e Certified Ethical Hacker. Lo slogan di BellTroX è: “Se tu lo vuoi, lo facciamo noi!”»

L’indagine sul gruppo è iniziata quando CitizenLab è stata raggiunta da un giornalista che era stato preso di mira con tentativi di phishing. Dopo aver tracciato l’URL shortener utilizzato per la truffa, gli investigatori sono stati in grado di identificare quasi 28 mila URL simili. Secondo gli esperti, è probabile che una parte di questi attacchi abbia avuto successo, sebbene numericamente esigua.

CitizenLab, nel suo report, ha avvertito che le sue indagini indicano l’esistenza di un mercato ampio e in crescita per i servizi di hacking su commissione come questi, con potenti aziende che appaltano il cyber-spionaggio a terzi per non venire coinvolte in procedimenti legali.

Tweet