Een Indiase hack-for-hire-groep richtte zich al meer dan tien jaar op de VS, China, Myanmar, Pakistan, Koeweit en andere landen als onderdeel van een uitgebreide spionage-, surveillance- en ontwrichtende operatie.
De Appin-softwarebeveiliging (ook bekend als Appin Security Group), volgens een diepgaande analyse van SentinelOne, begon als een educatieve startup die offensieve beveiligingstrainingsprogramma’s aanbood, terwijl ze sinds minstens 2009 geheime hackoperaties uitvoerde.
In mei 2013 maakte ESET een reeks cyberaanvallen bekend die gericht waren op Pakistan met informatiestelende malware. Hoewel de activiteit werd toegeschreven aan een cluster dat werd gevolgd als Hangover (ook bekend als Patchwork of Zinc Emerson), blijkt uit bewijsmateriaal dat de infrastructuur eigendom is van en wordt beheerd door Appin.
“De groep heeft hackoperaties uitgevoerd tegen waardevolle individuen, overheidsorganisaties en andere bedrijven die betrokken zijn bij specifieke juridische geschillen”, zei SentinelOne-beveiliging Tom Hegel in een uitgebreide analyse die vorige week werd gepubliceerd.
“De hackactiviteiten en de algehele organisatie van Appin lijken vaak informeel, onhandig en technisch grof; hun activiteiten bleken echter zeer succesvol voor hun klanten en hadden een aanzienlijke impact op de wereldaangelegenheden.”
De bevindingen zijn gebaseerd op niet-openbare gegevens verkregen door Reuters, waarin Appin werd opgeroepen voor het orkestreren van gegevensdiefstalaanvallen op industriële schaal tegen politieke leiders, internationale leidinggevenden, sportfiguren en anderen. Het bedrijf heeft in reactie daarop zijn banden met de hack-for-hire-business afgewezen.
Een van de kerndiensten die Appin bood, was een tool “MyCommando” (ook bekend als GoldenEye of Commando) waarmee klanten konden inloggen om campagnespecifieke gegevens en statusupdates te bekijken en te downloaden, veilig te communiceren en te kiezen uit verschillende taakopties die variëren van open-sourceonderzoek tot social engineering tot een trojan-campagne.
De aanvallen op China en Pakistan zijn een bevestiging dat een groep van Indiase huurlingen is ingeschakeld om door de staat gesponsorde aanvallen uit te voeren. Er is ook vastgesteld dat Appin achter de macOS-spyware zit die bekend staat als KitM in 2013.
Bovendien zei SentinelOne dat het ook gevallen van binnenlandse targeting heeft geïdentificeerd met als doel de inloggegevens van e-mailaccounts van Sikhs in India en de VS te stelen.
“In een niet-gerelateerde campagne gebruikte de groep ook de domeinsnelheidaccelator[.]com voor een FTP-server, die malware host die wordt gebruikt in hun kwaadaardige phishing-e-mails, waarvan er één werd gebruikt tegen een Indiaas individu dat later het doelwit was van de ModifiedElephant APT,’ merkte Hegel op. Het is vermeldenswaard dat de links van Patchwork naar ModifiedElephant eerder door Secureworks werden geïdentificeerd.
Naast het gebruik van een grote infrastructuur afkomstig van een derde partij voor data-exfiltratie, command-and-control (C2), phishing en het opzetten van loksites, zou de schimmige offensieve actor uit de particuliere sector (PSOA) hebben vertrouwd op privé-spyware en diensten exploiteren die worden aangeboden door particuliere leveranciers zoals Vervata, Vupen en Core Security.
In een andere opmerkelijke tactiek zou Appin gebruik hebben gemaakt van een in Californië gevestigd freelanceplatform genaamd Elance (nu Upwork genoemd) om malware van externe softwareontwikkelaars te kopen, terwijl hij ook zijn interne medewerkers heeft gebruikt om een aangepaste verzameling hacktools te ontwikkelen. .
“De onderzoeksresultaten onderstrepen de opmerkelijke vasthoudendheid van de groep en een bewezen staat van dienst in het succesvol uitvoeren van aanvallen namens een diverse klantenkring”, aldus Hegel.
De ontwikkeling komt op het moment dat Aviram Azari, een Israëlische privédetective, in de VS werd veroordeeld tot bijna zeven jaar gevangenisstraf op beschuldiging van computerinbraak, draadfraude en ernstige identiteitsdiefstal in verband met een wereldwijd hack-for-hire-plan tussen november 2014 tot september 2019. Azari werd in september 2019 gearresteerd.
‘Azari was eigenaar en beheerder van een Israëlisch inlichtingenbedrijf’, zei het ministerie van Justitie vorige week. “Klanten huurden Azari in om ‘projecten’ te beheren die werden beschreven als pogingen om inlichtingen te verzamelen, maar die in feite hackcampagnes waren die specifiek op bepaalde groepen slachtoffers waren gericht.”
Aviram is ook beschuldigd van het gebruik van huursoldaten in India, een bedrijf genaamd BellTroX Infotech (ook bekend als Amanda of Dark Basin), om klanten te helpen een voordeel te behalen in rechtszaken via spear-phishing-aanvallen en uiteindelijk toegang te krijgen tot de accounts van slachtoffers en informatie te stelen. .
BellTrox werd in mei 2013 opgericht door Sumit Gupta. Reuters maakte in juni 2022 bekend dat Gupta vóór de lancering van het bedrijf voor Appin had gewerkt.
