据安全公司SentinelOne的调查分析,一个由印度雇佣的黑客组织十多年来一直以美国、中国、缅甸、巴基斯坦、科威特等国家为目标,进行广泛的间谍、监视和破坏行动。
根据分析,该组织名为Appin Software Security(又名 Appin Security Group,以下简称Appin),最初是一家提供攻击性安全培训计划的教育初创公司,但至少从 2009 年起就开展秘密黑客行动。SentinelOne 安全人员汤姆·黑格尔 (Tom Hegel)在近期发布的综合分析中表示:“该组织针对高价值个人、政府组织和其他涉及特定法律纠纷的企业进行了黑客行动。”
该调查结果基于路透社获得的非公开数据,路透社指责 Appin 策划针对政治领导人、国际高管、体育人物的数据盗窃。作为回应,该公司否认了其与雇佣黑客业务的联系。
Appin 被指提供的一个核心服务是名为“MyCommando”(又名 GoldenEye 或 Commando)的工具,该工具允许客户登录查看和下载活动特定数据和状态更新、安全通信,并提供从开源研究到社会工程再到特洛伊木马活动的多种任务选项。
在早期活动中,Appin被指参与了针对中国和巴基斯坦的攻击,2013 年, Appin 还被确定为macOS 间谍软件 KitM 的幕后黑手。此外,SentinelOne 表示还发现了针对印度国内目标的实例,其目的是窃取印度和美国锡克教徒的电子邮件帐户。
黑格尔指出,在一次不相关的活动中,该组织还使用域名 speedaccelator[.]com 作为 FTP 服务器,托管在其恶意网络钓鱼电子邮件中使用的恶意软件,其中一个恶意软件后来被用于ModifiedElephant APT以针对印度国内的目标。
除了利用来自第三方的大型基础设施进行数据泄露、命令与控制 (C2)、网络钓鱼和设置诱饵站点外,据说这个神秘的组织还依赖 Vervata、Vupen 和 Core Security 等私营供应商提供的间谍软件和漏洞利用服务。
在另一个值得注意的策略中,Appin 被发现利用位于美国加利福尼亚州的自由职业者平台 Elance(现名 Upwork),从外部软件开发商那里购买恶意软件,同时还利用内部员工开发定制的黑客工具集。
黑格表示:“研究结果体现了该组织具有非凡的韧性,在代表不同客户成功实施攻击方面有着良好记录。”