Хакерская группировка подставляет людей в преступлениях, которых они не совершали

Недавнее исследование раскрывает тактику и методы киберпреступной группы, которая известна тем, что подбрасывает улики на устройства индийских активистов

Хакерская группировка подставляет людей в преступлениях, которых они не совершали
3 мин.

На протяжении как минимум десяти лет хакерская группировка атаковала людей по всей Индии, чтобы подбросить на их устройства сфабрикованные доказательства преступной деятельности. В свою очередь, эти фальшивые доказательства часто служили предлогом для ареста жертв.

Отчёт, опубликованный на этой неделе компанией Sentinel One, специализирующейся на кибербезопасности, раскрывает дополнительные подробности о группировке, показывая, как её цифровые грязные трюки использовались для слежки и преследования «правозащитников, учёных и адвокатов» по всей Индии.

Исследователи назвали группировку ModifiedElephant («Модифицированный слон»). Она в основном занимается шпионажем, но иногда участвует в фальсификациях, чтобы, по всей видимости, подставить свои цели и обвинить их в преступлениях. Исследователи пишут:

Цель ModifiedElephant – долгосрочная слежка, которая иногда заканчивается передачей «улик» – файлов, инкриминирующих цель в конкретных преступлениях – до удобно скоординированных арестов.

Самое громкое дело, связанное со Слоном, касается маоистского активиста Рона Уилсона и группы его соратников, которые в 2018 году были арестованы индийскими службами безопасности и обвинены в заговоре с целью свержения правительства. На ноутбуке Уилсона были найдены доказательства предполагаемого заговора – в том числе документ в формате word с подробным описанием планов убийства премьер-министра страны Нарендры Моди. Однако позднее судебная экспертиза устройства показала, что документы были поддельными и были подброшены с помощью вредоносного ПО. По мнению исследователей Sentinel, их туда поместил та самая группа хакеров.

Дело, получившее большую известность после освещения в газете Washington Post, было раскрыто после того, как вышеупомянутый ноутбук был проанализирован бостонской компанией Arsenal Consulting, занимающейся цифровой криминалистикой. В итоге Arsenal пришла к выводу, что Уилсон и все его так называемые соучастники, а также многие другие активисты были подвергнуты цифровым подтасовкам. В своем отчёте компания объяснила, насколько масштабным было вмешательство:

Arsenal связал одного и того же злоумышленника со значительной инфраструктурой вредоносных программ, которая была развёрнута в течение примерно четырёх лет, чтобы не только атаковать и скомпрометировать компьютер г-на Уилсона в течение 22 месяцев, но и заразить его соответчиков обвиняемых по другим громким индийским делам.

Как хакеры вообще попали на компьютер?

Согласно отчёту Sentinel One, Elephant использует обычные хакерские инструменты и методы, чтобы обосноваться на компьютерах жертв. В фишинговые письма, обычно составленные с учетом интересов жертвы, загружаются вредоносные документы, содержащие коммерческие инструменты удаленного доступа (RAT) – простые в использовании программы, доступные в даркнете.

🖱️
RAT — аббревиатура англ. Remote Access Trojan, в переводе — «Троян удаленного доступа»

В частности, Elephant использовал DarkComet и Netwire. После успешного фишинга жертвы и загрузки вредоносного ПО хакеров, RAT позволял хакерам получить полный контроль над устройством жертвы; они могли спокойно вести наблюдение или, как в случае с Уилсоном, размещать поддельные, уличающие документы, пишут исследователи.

Фишинговое письмо, содержащее вредоносное вложение, приписываемое ModifiedElephant

Все это довольно гнусно. Как и в любом другом хакерском мире, трудно однозначно сказать, кем на самом деле является «Слон». Однако очевидные контекстуальные свидетельства указывают на то, что группировка преследует «интересы» индийского правительства, пишут исследователи:

Мы наблюдаем, что деятельность ModifiedElephant резко совпадает с государственными интересами Индии и что существует заметная корреляция между атаками ModifiedElephant и арестами людей по спорным, политически окрашенным делам.

К сожалению, ModifiedElephant – не единственная подобная организация, которая занимается такими вещами. Совершенно другая группировка, как полагают, провела аналогичные операции против Бариша Пехливана, журналиста из Турции, который в 2016 году был заключён в тюрьму на 19 месяцев после того, как турецкое правительство обвинило его в терроризме. Цифровая экспертиза позже показала, что файлы, использованные для обоснования обвинений Пехливана, были подброшены, как и документы на ноутбуке Уилсона.

В целом, это довольно тревожный факт. «Остаётся много вопросов об этом субъекте угрозы и его операциях», — пишут исследователи Sentinel One. «Однако ясно одно: критики авторитарных правительств по всему миру должны тщательно изучить технические возможности тех, кто стремится заставить их замолчать».


ModifiedElephant APT and a Decade of Fabricating Evidence
A previously unreported threat actor has been targeting civil society for over a decade. Read about how it operates and its relationships to other threats.

Ещё по теме:


Больше интересного в нашем Telegram.
А ещё можете читать нас на Яндекс.Дзен, в Google Новостях и смотреть на YouTube.