El Citizen Lab, una institución académica dependiente de la Universidad de Toronto y enfocada al estudio de la vigilancia en Internet, acaba de hacer público un informe denunciando la existencia de un grupo de hackers mercenarios al que varias multinacionales habrían recurrido para hackear a miles personas e instituciones que investigaban o denunciaban los abusos de aquéllas.
Este grupo, llamado 'Dark Basin', habría actuado contra funcionarios, políticos, periodistas, abogados y ONGs por encargo de compañías como la compañía de fintech Wirecard o la petrolera ExxonMobil (uno de los principales objetivos del grupo fueron los promotores de la campaña #ExxonKnew, que denuncia la ocultación de datos sobre el cambio climático por parte de la compañía).
Así dieron con Dark Basin
Los investigadores dieron con este grupo de cibercriminales mientras investigaban un hackeo sufrido por Reuters en 2017, cuando ésta investigaba a su vez las acusaciones de fraude contra Wirecard.
Tirando del hilo, descubrieron 28.000 sitios web usados para emprender ataques de phishing dirigido, esto es, de obtener las credenciales de personas y entidades concretas, para lo cual difundieron emails que enlazaban a clones maliciosos de páginas populares como LinkedIn, YouTube o Dropbox.
Los 'servicios' de Dark Basin se contratarían a través de una compleja estructura de pagos que permite a los clientes mantenerse 'limpios' de cara a las autoridades, una estructura a la que estaría vinculada la compañía hindú de ciberinteligencia BellTroX InfoTech Services.
Según Citizen Lab, tanto las marcas de tiempo de los emails de las campañas de phishing de Dark Basin como los términos en hindi contenidos en el código fuente de la herramienta que usaban para enviarlos refuerzan el origen hindú de los ataques.
El CEO de BellTroX, Sumit Gupta, ya fue acusado en 2015 por las autoridades estadounidenses de participar en otra trama similar de 'hackers de alquiler', si bien nunca llegó a ser arrestado. Ahora la compañía ofrece servicios que vende eufemísticamente como "de hacking ético certificado":
"Pudimos identificar a varios empleados de BellTroX cuyas actividades se superponían con Dark Basin, porque usaron documentos personales, entre ellos un CV, para testar los acortadores de URL [de este último grupo] y porque se atribuyeron en las redes sociales el crédito por técnicas de ataque adjuntando capturas de pantallas que los vinculaban a los ataques de Dark Basin".
Citizen Lab advirtió que sus hallazgos son la demostración de la existencia de un gran mercado en auge de servicios de hacking mercenario, en la que influyentes organizaciones de todo el mundo estarían subcontratando tareas de vigilancia de tal manera que puedan negar su participación en las mismas.
