Dark Basin
Dark Basin est un groupe de pirates mercenaires découvert en 2017 par Citizen Lab[1]. Ils sont soupçonnés d'avoir agi entre autres pour Wirecard[2] ou ExxonMobil[3].
Contexte
[modifier | modifier le code]En 2015, Matthew Earl, travaillant pour ShadowFall Capital & Research, a commencé à étudier Wirecard AG dans l'espoir de les vendre à découvert. Wirecard venait d'annoncer l'achat de Great Indian Retail Group pour 254 millions de dollars[4], un prix qui semblait excessif à Earl. En février 2016, il dévoile publiquement ses découvertes sous le pseudonyme de Zatarra Research & Investigations[5], accusant Wirecard de corruption, de fraude et de blanchiment d'argent[6].
Peu de temps après, l'identité de Zatarra Research & Investigations est révélée en ligne, ainsi que des photos de surveillance d'Earl devant sa maison. Earl se rend rapidement compte qu'il est suivi. Des employés de Jones Day, un cabinet d'avocats représentant Wirecard[7], rendent visite à Earl et lui remettent une lettre, l'accusant de collusion, de complot, de diffamation, et de manipulation du marché[8]. Earl a également commencé à recevoir des courriels d'hameçonnage ciblés, semblant provenir de ses amis et des membres de sa famille[2]. Au printemps 2017, Earl partage ces courriels avec Citizen Lab, un laboratoire de recherche spécialisé dans le contrôle de l'information[8].
L'enquête de Citizen Lab
[modifier | modifier le code]Découvertes initiales
[modifier | modifier le code]Citizen Lab découvre que les attaquants utilisaient un raccourcisseur d'URL personnalisé qui permettait l'énumération , leur donnant accès à une liste de 28 000 adresses web. Certaines d'entre elles redirigeaient vers des sites Web ressemblant à Gmail, Facebook, LinkedIn, Dropbox ou divers webmails. Chaque page étant personnalisée avec le nom de la victime, demandant à l'utilisateur de saisir à nouveau son mot de passe[9].
Citizen Lab baptise ce groupe de hackers « Dark Basin » et identifie plusieurs catégories parmi les victimes[1]:
- Des organisations environnementales américaines liées à la campagne #ExxonKnew[10]: La Fondation Rockefeller, le Climate Investigations Center, Greenpeace, le Center for International Environmental Law, Oil Change International, Public Citizen, la Conservation Law Foundation, l'Union of Concerned Scientists, M R Strategic Services ou 350.org
- Des médias américains
- Des entreprises de gestion alternative, des vendeurs à découvert et des journalistes financiers
- Des banques et sociétés d'investissement internationales
- Des cabinets juridiques aux États-Unis, au Royaume-Uni, en Israël, en France, en Belgique, en Norvège, en Suisse, en Islande, au Kenya et au Nigéria.
- Des sociétés pétrolières et énergétiques
- Des oligarques d'Europe de l'Est, d'Europe centrale et de Russie
- Des personnes disposant de ressources suffisantes et impliquées dans des divorces ou d'autres questions juridiques
Compte tenu de la variété des cibles, Citizen Lab pense à une activité mercenaire. Le laboratoire de recherche confirme que certaines de ces attaques avaient porté leurs fruits.
La piste indienne
[modifier | modifier le code]Plusieurs indices ont permis à Citizen Lab d'affirmer avec une grande confiance que Dark Basin étaient basés en Inde[1].
Heures de travail
[modifier | modifier le code]Les horodatages dans les e-mails d'hameçonnage de Dark Basin étaient cohérents avec les heures de travail en Inde, qui n'a qu'un seul fuseau horaire: UTC 5:30[1].
Références culturelles
[modifier | modifier le code]Les instances du service de raccourcissement d'URL utilisé par Dark Basin avaient des noms liés à la culture indienne : Holi, Rongali et Pochanchi[1].
Outils d'hameçonnage
[modifier | modifier le code]Dark Basin a mis en ligne le code source de ses outils d'hameçonnage, y compris certains fichiers journaux. Le code source était configuré pour afficher les horodatages dans le fuseau horaire de l'Inde. Le fichier journal, qui montrait que des tests avaient été effectués, incluait une adresse IP basée en Inde[1].
BellTroX
[modifier | modifier le code]Le rapport de Citizen Lab révèle que BellTroX, également connu sous le nom de BellTroX InfoTech Services et BellTroX D|G|TAL Security, est l'entreprise derrière Dark Basin[1]. BellTroX, une société basée à New Delhi[11], propose sur son site Web des services tels que des tests d'intrusion, du piratage éthique certifié et de la transcription médicale. Les employés de BellTroX sont décrits comme bavards[1] et publient régulièrement des informations sur leurs activités illégales[1]. Le fondateur de BellTroX, Sumit Guptra[12], a déjà été inculpé aux États-Unis pour avoir créé un groupe de pirates mercenaires appelé ViSalus[13].
BellTroX a utilisé le CV d'un de ses employés pour tester le raccourcisseur d'URL de Dark Basin. Ils ont également publié des captures d'écran contenant des liens vers l'infrastructure de Dark Basin[1].
Des centaines de personnes, travaillant dans le domaine de l'intelligence économique, ont venté les mérites de BellTroX sur LinkedIn. Certains d'entre eux sont soupçonnés d'être des clients potentiels. Parmi ces personnes on trouve un fonctionnaire du gouvernement canadien, un enquêteur de la Federal Trade Commission des États-Unis, des agents d'application de la loi et des enquêteurs privés ayant déjà exercé des fonctions au sein du FBI, de la police, de l'armée et d'autres branches du gouvernement[1].
Le 7 juin 2020, BellTroX met son site web hors-ligne[1].
Réactions
[modifier | modifier le code]Wirecard et ExxonMobil ont nié toute collaboration avec Dark Basin[14],[15].
Notes et références
[modifier | modifier le code]- (en) « Dark Basin - Uncovering a Massive Hack-For-Hire Operation »
- (en) « Dark Basin: Global Hack-For-Hire Organization That Targeted Thousands Over The Years » (consulté le )
- (en) « Paid hackers targeted thousands of people and hundreds of institutions worldwide, report says » (consulté le )
- (en) « Wirecard buys Great Indian Retail Group payments business » (consulté le )
- (en) « Germany’s long, lonely campaign: Battling Wirecard’s short sellers » (consulté le )
- (en) « Short sellers made $2.6 bln off Wirecard plunge » (consulté le )
- (en) « Short Sellers Made $2.6 Billion Off Wirecard’s Plunge, but Not Without Scars » (consulté le )
- (en) « EP 79: DARK BASIN » (consulté le )
- (en) « Phish For the Future » (consulté le )
- (en) « Environmentalists Targeted Exxon Mobil. Then Hackers Targeted Them. » (consulté le )
- (en) « Exclusive: Obscure Indian cyber firm spied on politicians, investors worldwide » (consulté le )
- (en) « Dark Basin: Delhi-based “Hack-for-Hire” firm exposed for hacking politicians, non-profits globally » (consulté le )
- (en) « Private Investigators Indicted In E-Mail Hacking Scheme » (consulté le )
- (en) « Researchers detail huge hack-for-hire campaigns against environmentalists » (consulté le )
- (en) « Toronto’s Citizen Lab uncovers massive hackers-for-hire organization ‘Dark Basin’ that has targeted hundreds of institutions on six continents » (consulté le )