Dark Basin

Dark Basin est un groupe de pirates mercenaires découvert en 2017 par Citizen Lab^[1]. Ils sont soupçonnés d'avoir agi entre autres pour Wirecard^[2] ou ExxonMobil^[3].

Contexte[modifier | modifier le code]

En 2015, Matthew Earl, travaillant pour ShadowFall Capital & Research, a commencé à étudier Wirecard AG dans l'espoir de les vendre à découvert. Wirecard venait d'annoncer l'achat de Great Indian Retail Group pour 254 millions de dollars^[4], un prix qui semblait excessif à Earl. En février 2016, il dévoile publiquement ses découvertes sous le pseudonyme de Zatarra Research & Investigations^[5], accusant Wirecard de corruption, de fraude et de blanchiment d'argent^[6].

Peu de temps après, l'identité de Zatarra Research & Investigations est révélée en ligne, ainsi que des photos de surveillance d'Earl devant sa maison. Earl se rend rapidement compte qu'il est suivi. Des employés de Jones Day, un cabinet d'avocats représentant Wirecard^[7], rendent visite à Earl et lui remettent une lettre, l'accusant de collusion, de complot, de diffamation, et de manipulation du marché^[8]. Earl a également commencé à recevoir des courriels d'hameçonnage ciblés, semblant provenir de ses amis et des membres de sa famille^[2]. Au printemps 2017, Earl partage ces courriels avec Citizen Lab, un laboratoire de recherche spécialisé dans le contrôle de l'information^[8].

L'enquête de Citizen Lab[modifier | modifier le code]

Découvertes initiales[modifier | modifier le code]

Citizen Lab découvre que les attaquants utilisaient un raccourcisseur d'URL personnalisé qui permettait l'énumération , leur donnant accès à une liste de 28 000 adresses web. Certaines d'entre elles redirigeaient vers des sites Web ressemblant à Gmail, Facebook, LinkedIn, Dropbox ou divers webmails. Chaque page étant personnalisée avec le nom de la victime, demandant à l'utilisateur de saisir à nouveau son mot de passe^[9].

Citizen Lab baptise ce groupe de hackers « Dark Basin » et identifie plusieurs catégories parmi les victimes^[1]:

Des organisations environnementales américaines liées à la campagne #ExxonKnew^[10]: La Fondation Rockefeller, le Climate Investigations Center, Greenpeace, le Center for International Environmental Law, Oil Change International, Public Citizen, la Conservation Law Foundation, l'Union of Concerned Scientists, M + R Strategic Services ou 350.org
Des médias américains
Des entreprises de gestion alternative, des vendeurs à découvert et des journalistes financiers
Des banques et sociétés d'investissement internationales
Des cabinets juridiques aux États-Unis, au Royaume-Uni, en Israël, en France, en Belgique, en Norvège, en Suisse, en Islande, au Kenya et au Nigéria.
Des sociétés pétrolières et énergétiques
Des oligarques d'Europe de l'Est, d'Europe centrale et de Russie
Des personnes disposant de ressources suffisantes et impliquées dans des divorces ou d'autres questions juridiques

Compte tenu de la variété des cibles, Citizen Lab pense à une activité mercenaire. Le laboratoire de recherche confirme que certaines de ces attaques avaient porté leurs fruits.

La piste indienne[modifier | modifier le code]

Plusieurs indices ont permis à Citizen Lab d'affirmer avec une grande confiance que Dark Basin étaient basés en Inde^[1].

Heures de travail[modifier | modifier le code]

Les horodatages dans les e-mails d'hameçonnage de Dark Basin étaient cohérents avec les heures de travail en Inde, qui n'a qu'un seul fuseau horaire: UTC+5:30^[1].

Références culturelles[modifier | modifier le code]

Les instances du service de raccourcissement d'URL utilisé par Dark Basin avaient des noms liés à la culture indienne : Holi, Rongali et Pochanchi^[1].

Outils d'hameçonnage[modifier | modifier le code]

Dark Basin a mis en ligne le code source de ses outils d'hameçonnage, y compris certains fichiers journaux. Le code source était configuré pour afficher les horodatages dans le fuseau horaire de l'Inde. Le fichier journal, qui montrait que des tests avaient été effectués, incluait une adresse IP basée en Inde^[1].

BellTroX[modifier | modifier le code]

Le rapport de Citizen Lab révèle que BellTroX, également connu sous le nom de BellTroX InfoTech Services et BellTroX D|G|TAL Security, est l'entreprise derrière Dark Basin^[1]. BellTroX, une société basée à New Delhi^[11], propose sur son site Web des services tels que des tests d'intrusion, du piratage éthique certifié et de la transcription médicale. Les employés de BellTroX sont décrits comme bavards^[1] et publient régulièrement des informations sur leurs activités illégales^[1]. Le fondateur de BellTroX, Sumit Guptra^[12], a déjà été inculpé aux États-Unis pour avoir créé un groupe de pirates mercenaires appelé ViSalus^[13].

BellTroX a utilisé le CV d'un de ses employés pour tester le raccourcisseur d'URL de Dark Basin. Ils ont également publié des captures d'écran contenant des liens vers l'infrastructure de Dark Basin^[1].

Des centaines de personnes, travaillant dans le domaine de l'intelligence économique, ont venté les mérites de BellTroX sur LinkedIn. Certains d'entre eux sont soupçonnés d'être des clients potentiels. Parmi ces personnes on trouve un fonctionnaire du gouvernement canadien, un enquêteur de la Federal Trade Commission des États-Unis, des agents d'application de la loi et des enquêteurs privés ayant déjà exercé des fonctions au sein du FBI, de la police, de l'armée et d'autres branches du gouvernement^[1].

Le 7 juin 2020, BellTroX met son site web hors-ligne^[1].

Réactions[modifier | modifier le code]

Wirecard et ExxonMobil ont nié toute collaboration avec Dark Basin^[14]^,^[15].

Notes et références[modifier | modifier le code]

↑ ^{a b c d e f g h i j k et l} (en) « Dark Basin - Uncovering a Massive Hack-For-Hire Operation »
↑ ^{a et b} (en) « Dark Basin: Global Hack-For-Hire Organization That Targeted Thousands Over The Years » (consulté le 14 mars 2021)
↑ (en) « Paid hackers targeted thousands of people and hundreds of institutions worldwide, report says » (consulté le 14 mars 2021)
↑ (en) « Wirecard buys Great Indian Retail Group payments business » (consulté le 14 mars 2021)
↑ (en) « Germany’s long, lonely campaign: Battling Wirecard’s short sellers » (consulté le 14 mars 2021)
↑ (en) « Short sellers made $2.6 bln off Wirecard plunge » (consulté le 14 mars 2021)
↑ (en) « Short Sellers Made $2.6 Billion Off Wirecard’s Plunge, but Not Without Scars » (consulté le 14 mars 2021)
↑ ^{a et b} (en) « EP 79: DARK BASIN » (consulté le 14 mars 2021)
↑ (en) « Phish For the Future » (consulté le 14 mars 2021)
↑ (en) « Environmentalists Targeted Exxon Mobil. Then Hackers Targeted Them. » (consulté le 14 mars 2021)
↑ (en) « Exclusive: Obscure Indian cyber firm spied on politicians, investors worldwide » (consulté le 14 mars 2021)
↑ (en) « Dark Basin: Delhi-based “Hack-for-Hire” firm exposed for hacking politicians, non-profits globally » (consulté le 14 mars 2021)
↑ (en) « Private Investigators Indicted In E-Mail Hacking Scheme » (consulté le 14 mars 2021)
↑ (en) « Researchers detail huge hack-for-hire campaigns against environmentalists » (consulté le 14 mars 2021)
↑ (en) « Toronto’s Citizen Lab uncovers massive hackers-for-hire organization ‘Dark Basin’ that has targeted hundreds of institutions on six continents » (consulté le 14 mars 2021)

[cl-1] {a b c d e f g h i j k et l} (en) « Dark Basin - Uncovering a Massive Hack-For-Hire Operation »

[npr-2] {a et b} (en) « Dark Basin: Global Hack-For-Hire Organization That Targeted Thousands Over The Years » (consulté le 14 mars 2021)

[3] (en) « Paid hackers targeted thousands of people and hundreds of institutions worldwide, report says » (consulté le 14 mars 2021)

[4] (en) « Wirecard buys Great Indian Retail Group payments business » (consulté le 14 mars 2021)

[5] (en) « Germany’s long, lonely campaign: Battling Wirecard’s short sellers » (consulté le 14 mars 2021)

[6] (en) « Short sellers made $2.6 bln off Wirecard plunge » (consulté le 14 mars 2021)

[7] (en) « Short Sellers Made $2.6 Billion Off Wirecard’s Plunge, but Not Without Scars » (consulté le 14 mars 2021)

[dnd-8] {a et b} (en) « EP 79: DARK BASIN » (consulté le 14 mars 2021)

[9] (en) « Phish For the Future » (consulté le 14 mars 2021)

[10] (en) « Environmentalists Targeted Exxon Mobil. Then Hackers Targeted Them. » (consulté le 14 mars 2021)

[11] (en) « Exclusive: Obscure Indian cyber firm spied on politicians, investors worldwide » (consulté le 14 mars 2021)

[12] (en) « Dark Basin: Delhi-based “Hack-for-Hire” firm exposed for hacking politicians, non-profits globally » (consulté le 14 mars 2021)

[13] (en) « Private Investigators Indicted In E-Mail Hacking Scheme » (consulté le 14 mars 2021)

[14] (en) « Researchers detail huge hack-for-hire campaigns against environmentalists » (consulté le 14 mars 2021)

[15] (en) « Toronto’s Citizen Lab uncovers massive hackers-for-hire organization ‘Dark Basin’ that has targeted hundreds of institutions on six continents » (consulté le 14 mars 2021)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

v · m Hacking dans les années 2010
Incidents	Opération Titstorm (en) (2010) Opération Shady RAT (2006-2011) Operation Payback (2010) Piratage de DigiNotar (2011) Operation Tunisia (2011) Piratage du PlayStation Network (2011) Operation AntiSec (en) (2011-12) United States v. Swartz (en) (2010) Fuites de Stratfor par Wikileaks (en) (2012-13) Piratage LinkedIn (2012) Cyberattaque contre la Corée du Sud (2013) Piratage Snapchat (2014) Opération Tovar (en) (2014) Fuite des photos de personnalités d'août 2014 Cyberattaque contre JPMorgan Chase (2014) Piratage de Sony Pictures Entertainment (2014) Cyberattaque contre TV5 Monde (2015) Violation de données de l'OPM (2015) Cyber-braquage de la banque centrale du Bangladesh (2016) Cyberattaque WannaCry (2017) Cyberattaque Adylkuzz (2017) Cyberattaque NotPetya (2017)
Groupes	AnonGhost Anonymous (événements associés) Armée électronique syrienne Bureau 121 Dark Basin Derp Equation Group GNAA (simple) Goatse Security Hacking Team LulzRaft LulzSec NullCrew (en) OurMine RedHack TeaMp0isoN (en) Tailored Access Operations UGNazi Unité 61398 The Shadow Brokers
Hackers individuels	Donncha O'Cearbhaill Jeremy Hammond George Hotz Guccifer « Sabu » Hector Monsegur (en) Topiary (en) The Jester weev Jan Krissler (Starbug)
Vulnérabilités découvertes	Heartbleed (2014) Shellshock (2014) POODLE (2014) JASBUG (en) (2015) Stagefright (2015) DROWN (2016) Badlock (en) (2016) Dirty COW (2016) EternalBlue (2017) Meltdown (2018) Spectre (2018) ZombieLoad (2019) Kr00k (2019)
Logiciels malveillants	Babar Careto / The Mask (en) CryptoLocker Dexter Duqu FinFisher Flame Jigsaw Gameover ZeuS (en) Mahdi Metulji botnet (en) NSA ANT catalog (en) R2D2 (trojan) Regin Shamoon (en) Stars virus Stuxnet TeslaCrypt Petya Triton VPNFilter Wirelurker