一家鲜为人知的印度IT公司为客户提供黑客服务,在7年时间里对全球超过1万个电子邮件账户进行入侵。
根据该公司的三名前员工披露的信息以及外部研究人员的报告和网上的种种证据,总部位于新德里的BellTroX信息技术服务公司专门瞄准欧洲的阅批官员、巴哈马的伯才大亨和以及包括美国私募股权巨头KKR和做空机构浑水在内的著名投资机构。5名知情人士表示,BellTroX针对美国目标发动的黑客行动正在面临美国执法部门的调查。但美国司法部拒绝置评。
目前还不清楚BellTroX客户的身份。但该公司的所有者苏米特·古普塔(Sumit Gupta)拒绝在电话采访中透露客户身份,并否认存在任何不当行为。浑水创始人卡尔森·布洛克(Carson Block)说,“得知我们可能成为BellTroX客户的入侵目标时,我感到失望,但并不惊讶。”KKR拒绝置评。
互联网监督组织Citizen Lab的研究人员花费了两年多时间摸清了黑客使用的基础设施。这些研究人员周二发布报告称,他们“充分相信”BellTroX的员工充当了间谍活动的幕后黑手。“这是有史以来受雇开展的规模最大的间谍活动之一。”Citizen Lab研究员约翰·斯科特-莱尔顿(John Scott-Railton)说。
他表示,尽管与获得国家支持的间谍组织或者引人关注的网络盗窃案相比,“网络雇佣军”并未得到太大关注,但这些服务却得以广泛使用。“我们的调查发现,没有任何领域可以幸免。”
路透社通过查看数据缓存深入研究了这项活动,结果显示,BellTroX在2013至2020年间发送了成千上万条旨在诱骗受害者透露密码的消息。该数据是由黑客使用的网络服务提供商匿名提供给路透社的,在此之前,路透社曾经警告这些公司,他们平台上的活动存在异常。
该数据相当于一份“黑名单”,列出了攻击目标和攻击时间。路透社通过与受攻击的目标收取的电子邮件进行对比,验证了这些数据的真实性。
名单包含南非的法官、墨西哥的政治人物、法国的律师和美国的环保组织。这几十个人只是BellTroX数以千计攻击目标中的一小部分,他们均未作出回应或拒绝发表评论。目前还无法确定究竟有多少次黑客入侵活动取得成功。
BellTroX的古普塔在2015年的一次黑客案中遭到起诉,该案中有两名美国私家侦探承认向他支付费用,以入侵营销高管的帐号。古普塔在2017年被宣布为逃犯,但美国司法部拒绝评论此案当前的状况,也拒绝透露是否已提出引渡请求。
古普塔在他位于新德里的家中通过电话否认了黑客入侵行为,他还表示执法部门从未与他联系。他说,他在私家侦探向其提供登录详细信息后,才帮助他们从电子邮件收件箱中下载了消息。
“我没有帮助他们获取任何东西,我只是帮助他们下载邮件,他们向我提供了所有详细信息。”他说,“我不知道他们如何获得这些详细信息,我只是为他们提供了技术支持。”
路透社无法确定私家侦探为什么会要求古普塔帮助他们下载电子邮件。古普塔没有回复后续消息,而当路透社记者周一前往他的办公室拜访时,也一再遭到拒绝。德里警方和印度外交部发言人没有发表评论。
伪装邮件
根据路透社查看的数据,BellTroX在德里西部某零售综合体的一家已经关闭的茶摊上方的小房间内开展活动,他们用数以万计的恶意电子邮件对目标展开“轰炸”。有些信息会伪装成攻击目标的同事或亲人,还有的邮件则伪装成Facebook登录请求或色情网站退订邮件。
法哈米·奎德(Fahmi Quadir)在纽约的做空机构Safkhet Capital是BellTroX于2017年至2019年间瞄准的17家投资机构中的一家。她说,在她发起基金后不久,就注意到2018年初的电子邮件数量激增。
最初“似乎不是恶意邮件,”奎德说,“只是占星术之类的内容。然后变成色情内容。”最终,黑客们又加大了攻击力度,向她发送了看似可信的信息,伪装成她的同事、家人或其他做空机构。奎德说:“他们甚至想假冒我的姐妹。”但她认为攻击并没有成功。
美国游说组织也屡次成为目标。其中包括数字版权组织Free Press和Fight for the Future,这两个组织都为网络中立原则展开游说。这些组织表示,少数员工帐户遭到入侵,但更广泛的网络并未受到影响。电子前沿基金会曾在2017年的报告中详细阐述了这些组织遭到的攻击,但并没有公开将此与BellTroX联系起来。