Comment l’Inde est devenu une place de location de hackers

Comment l’Inde est devenu une place de location de hackers

Un soir de janvier, un étudiant d’université basé à Kanpur dans la vingtaine a reçu un appel téléphonique d’un numéro inconnu. L’ingénieur de premier cycle, qui ne souhaitait pas être identifié, avait passé beaucoup de temps sur les forums du dark web. Il cherchait même des «tutoriels de piratage» sur Google. Son empreinte numérique avait laissé une trace.

L’appelant en savait étonnamment tout. L’offre était simple: puisque vous êtes intéressé par le piratage, voulez-vous gagner de l’argent en piratant des entreprises? C’était un appel de recrutement. Et le numéro de téléphone, bien que difficile à retracer, semblait provenir de Floride.

À peu près au même moment, l’ami du pirate informatique basé à Kanpur a également reçu un appel, car il avait suffisamment de «crédit» sur le dark web, a-t-il déclaré. C’était une demande plus spécifique: voler la liste des partenaires de la start-up de services à domicile Urban Société (anciennement UrbanClap). Ces listes contiennent les noms et les coordonnées du personnel de service comme les barbiers, les réparateurs, etc., qui sont employés par l’entreprise pour effectuer des tâches via ses plates-formes. Le «client» était prêt à payer 40 000 ? en bitcoins pour les données.


Le deuxième hacker a refusé d’accepter l’offre, mais a déclaré que des personnes comme lui recevaient souvent de telles demandes et qu’elles ne venaient même pas nécessairement via le Web sombre. Les demandes arrivent parfois via WhatsApp, via des amis de la communauté de la sécurité ou même via des services de messagerie cryptés comme ProtonMail.

C’est un aperçu du ventre d’une industrie qui est souvent décrite par un terme générique: piratage contre rémunération. Les cibles sont variées: salariés d’entreprise, politiciens, voire ex-amoureux parfois. Et ce qui est souvent proposé est le piratage de «bas niveau»: mots de passe de messagerie, accès aux comptes de réseaux sociaux. Avec très peu de moyens de gagner de l’argent en tant que hacker éthique en Inde, de jeunes ingénieurs talentueux ou des novices qui souhaitent expérimenter ont exploré l’obscurité depuis un certain temps maintenant, et leur nombre augmente.


Un rapport du groupe d’analyse des menaces Google (TAG) de mai 2020 a mis en évidence une tendance émergente intéressante: Les opérations de «piratage contre rémunération» sont désormais de plus en plus organisées sous l’égide d’entreprises officiellement enregistrées. «Beaucoup sont basées en Inde», indique le rapport.

Ce qui a vraiment fait sauter le couvercle sur ce nouveau phénomène, cependant, était un exposé du chien de garde canadien de la sécurité Internet, Citizen Lab, qui a révélé une société obscure basée à Delhi appelée Belltrox Infotech Services Pvt. Ltd le mois dernier. Rapportée pour la première fois par Reuters, l’enquête de Citizen Lab révèle une opération de piratage contre rémunération qui a duré des années et qui ciblait de hauts élus, des entreprises et même des journalistes, dont beaucoup étaient basés dans des juridictions extérieures à l’Inde.

Les chercheurs en sécurité essayaient de cerner le groupe de pirates informatiques opérant sous l’ombre de Belltrox depuis des années. La première victime identifiée remonte à 2017. Avant que la société basée à Delhi ne soit identifiée, les chercheurs en sécurité disposaient même de mots de code pour décrire ce qui semblait être des tentatives de piratage étrangement similaires: les pirates de Dark Basin, l’armada mercenaire.


Belltrox est peut-être le la pointe de l’iceberg cependant. Comment fonctionne le secteur du hack-for-location exactement? Et pourquoi a-t-il pris racine en Inde?

Le piratage en tant que service

Le hacking-as-a-service (HaaS) existe sur le dark web depuis des années, selon les experts en sécurité, et, plus important encore, il existe en Inde depuis tout aussi longtemps.

En 2010, un hacker basé à Delhi, Mint, s’est entretenu et qui ne voulait pas être identifié, assistait à la croissance de cette industrie en Inde. « Les hackers à embaucher existent depuis avant mon entrée dans cette industrie », a-t-il déclaré. Alors qu’il explorait le dark web, comprenait comment les hackers travaillaient et même pirataient pour apprendre, il ne s’est pas réellement impliqué dans les activités que Belltrox était pris en train de faire.  » J’aurais pu, j’ai simplement choisi de ne pas le faire », a-t-il déclaré.


« Ces gars de Dark Basin semblent s’être attachés à une méthode qui fonctionne pour eux », a-t-il déclaré. Selon lui, pour créer une entreprise comme celle-ci, une personne se mettrait d’abord à créer une liste de clients potentiels. Des entreprises comme Belltrox souvent envoyer une série de envoyer des e-mails à une liste de diffusion pré-créée et espérer obtenir une réponse. Si votre liste comprend des milliers de courriels, il y a de fortes chances que vous obteniez une réponse, a-t-il déclaré.

Mais c’est la manière la plus rudimentaire. L’escroquerie de Belltrox s’est produite dans la version Internet en plein jour. Selon un chercheur de la société de cybersécurité NortonLifeLock, qui a mené l’enquête sur Dark Basin, Belltrox a entrepris de créer des profils LinkedIn. Ces profils ont ensuite été approuvés par d’autres pour certaines compétences pertinentes sur LinkedIn.


Ces approbations provenaient soit de faux profils, soit d’enquêteurs privés qui étaient les clients de Belltrox – pour des compétences comme la surveillance, les enquêtes privées, les enquêtes sur les fraudes, les vérifications des antécédents, etc. savoir ce qui se passe, c’est assez intéressant « , a déclaré le chercheur Norton. » Cette entreprise est menée semi-ouvertement « , at-il ajouté.

Contrairement aux profils LinkedIn réguliers, ceux-ci ont été créés à l’aide de l’entreprise noms, et les chercheurs ont trouvé une expression intéressante dans nombre de ces publicités: l’interception légale. Cela les a fait réfléchir.

« Ma compréhension de l’interception légale est qu’elle ne peut pas être un service à un citoyen privé », a déclaré le chercheur. Mais en se basant sur ceux qui les approuvaient, il semblait qu’ils offraient de tels services à des enquêteurs privés. Une équipe de Norton les chercheurs ont creusé plus profondément et ont découvert que les comptes que Belltrox avait créés avaient eux-mêmes approuvé d’autres services similaires.


Selon la page de présentation de LinkedIn, «lorsqu’une connexion valorise vos compétences, elle contribue à la force de votre profil et augmente la probabilité que vous soyez découvert pour des opportunités liées aux compétences que vous possédez.» La page de Belltrox existe toujours et en est une des meilleurs résultats si l’on recherche «l’interception légale» sur LinkedIn. Mint a essayé d’entrer en contact avec certains des endosseurs, mais ils n’ont pas répondu, sans surprise.

Dans une réponse par e-mail, LinkedIn a revendiqué le profil a été « restreint et est en attente d’examen ». Pendant ce temps, le site Web de Belltrox a disparu et seuls deux employés apparaissent sur une recherche LinkedIn régulière.

L’agitation

Selon trois pirates (dont le pirate informatique basé à Delhi mentionné plus tôt) qui ont parlé à Mint sous couvert d’anonymat, la création d’une entreprise HaaS nécessite de la persévérance. Le «tourbillon» commence par «créer un représentant» sur les forums du dark web; puis trouver des clients; puis persister jusqu’à ce qu’une cible soit compromise. Si l’on veut des clients étrangers, il est vital de gagner en crédibilité. Les chapeaux noirs (ceux qui piratent un réseau informatique avec une intention malveillante) choisissent de le faire sur le Web sombre ou en cachant leurs traces en plein jour.


La principale exigence de l’agitation est une présence soutenue sur les forums du dark web ou du deep web. Le Web profond fait référence aux sites Web qui ne sont pas indexés par des moteurs de recherche comme Google, tandis que le Web sombre est le même mais ne peut être consulté que via un navigateur anonymisant comme Tor. «Nous sommes tous également sur le dark web, parce que nous devons être au courant de ce qui se passe là-bas pour être un bon chercheur en sécurité « , a déclaré Saptarshi Chatterjee, un hacker éthique. L’Inde ajoute une couche qui lui est propre à cette industrie. Les emplois passent par les messages WhatsApp, Telegram, etc. Et souvent, de simples personnes ordinaires ou de startups en herbe cherchant à renverser des concurrents hautement financés. « Ma demande était par l’intermédiaire d’un responsable de la sécurité informatique. La cible était un fonctionnaire de haut rang. La demande était de recueillir des informations, d’accéder à leur Facebook et autres comptes de médias sociaux », a déclaré un expert indien en cyber-criminalistique qui avait également été approché pour des services de piratage contre rémunération.


Mais alors que les pirates informatiques individuels peuvent au moins être en mesure de se prononcer sur ce qui est légal et où ils doivent tracer la ligne, spécialiste SEO Lille ceux qui travaillent dans des entreprises peuvent même ne pas être conscients de ce qu’ils font réellement. Le chercheur Norton a souligné que cela est probablement vrai pour les employés de Belltrox également.

« Il ne faut pas un pirate informatique pour envoyer des e-mails à une liste d’e-mails », a déclaré le pirate informatique basé à Delhi. Il a déclaré que les mêmes personnes qui dirigent des escroqueries de support technique en Inde travaillent très probablement dans le segment du piratage au chapeau noir pour la location aussi.

L’expert indien de la cyber-criminalistique a déclaré à Mint que le secteur immobilier utilise souvent HaaS pour son travail. « J’ai reçu des informations sur un piratage il y a deux ans, et le modus operandi a révélé des informations confidentielles sur des membres de haut niveau d’un parti politique, des cibles immobilières, etc. », a-t-il déclaré. « Les pirates commencent par une attaque de phishing. Si la cible ne l’est pas. compromis, ils changent de cap et s’orientent vers la connexion la plus proche de la cible. Le but est d’obtenir des informations confidentielles et d’avoir un avantage », a-t-il ajouté.


Selon lui, de nombreux pigistes et hackers à temps partiel en Inde gagnent de l’argent grâce aux entreprises HaaS. Le directeur général d’une agence de détective privé a déclaré à Mint que son entreprise recevait environ 150 à 200 requêtes par mois de personnes dont les comptes de messagerie, Facebook, etc. avaient été piratés. L’entreprise gère un beaucoup de cas de chantage dans le pays, et il a dit qu’il y avait deux types de maîtres-chanteurs – ceux dans lesquels quelqu’un est directement fait chanter et d’autres où quelqu’un a obtenu des informations sur une personne en piratant un identifiant de courrier électronique.

Conduisez vers le côté obscur

Mais aussi sombre et louche que puisse paraître l’industrie HaaS, les parties prenantes affirment qu’il s’agit simplement d’une ramification du côté légitime de l’industrie – généralement appelé piratage au chapeau blanc. Des chercheurs en sécurité bien connus ont déclaré que les entreprises de cybersécurité enregistrées pouvaient – et le font – fournir de tels services et qu’il serait extrêmement difficile de les retracer.


Les chercheurs en sécurité en Inde n’obtiennent souvent pas le même respect dans le pays que leurs homologues mondiaux, ce qui les pousse du côté obscur. En 2018, le prolifique pirate informatique français Robert Baptiste, surnommé Elliot Alderson sur Twitter, a signalé une faille de sécurité sur le site Web de Bharat Sanchar Nigam Ltd (BSNL). BSNL a répondu à Alderson et la question a été largement couverte par les médias, et a été finalement corrigé. Ce que beaucoup ne savaient pas à l’époque, c’était qu’environ un an et demi auparavant, le chercheur indien en sécurité Sai Krishna Kothapalli avait signalé le même problème.

Pendant plus d’un mois en 2016, Krishna a tenté d’atteindre BSNL. Il a envoyé des e-mails sur les identifiants fournis sur le site Web de BSNL, puis a envoyé des messages via Facebook, Twitter et par tout autre moyen, mais en vain.


Le manque de respect pousse souvent les pirates à emprunter la voie la plus sombre; l’argent remplace le respect. Le côté chapeau blanc de l’industrie nécessite le même niveau de «bousculade» que le côté obscur. «En 2017, j’ai signalé un bug à Twitter et ils m’ont payé environ 3 lakh pour cela», a déclaré Anand Prakash, fondateur d’AppSecure , une entreprise de cybersécurité. Alors que le paiement était sain, Prakash a déclaré que les informations selon lesquelles le bogue permettrait à un pirate d’accéder à un pirate auraient rapporté beaucoup plus s’il l’avait vendue sur le Web sombre.

Les chercheurs en sécurité comme Prakash et Krishna travaillent dur dans l’industrie depuis des années et ont construit une vie saine pour eux-mêmes. Prakash a commencé en 2013 et a également travaillé chez Flipkart, avant de créer sa propre entreprise. Krishna a fondé Hackrew et se concentre sur le travail avec les gouvernements. L’Inde a une énorme communauté de pirates de chapeau blanc et de chasseurs de primes de bogues (des programmeurs qui sont payés pour signaler des failles dans un logiciel). Selon le rapport annuel de la plate-forme de coordination des bogues et de la coordination des vulnérabilités HackerOne, les pirates indiens ont remporté la deuxième plus grande part de primes de bogues au monde en 2018, derrière les États-Unis. C’est toujours le deuxième, avec la version 2020 du rapport de la société indiquant que l’Inde a pris 10% du total des paiements de primes de bogues dans le monde. Les États-Unis ont pris la première place avec 19%, tandis que la Russie, la Chine et l’Allemagne ont complété le top cinq.


Mais alors que l’industrie du chapeau blanc est construite sur les primes de bogues, les certifications et d’être un habitué des conférences de hackers, pour être un chapeau noir, tout ce dont on a besoin est de pouvoir prouver ses compétences aux clients potentiels.

L’économie numérique de l’Inde montrant tous les signes d’une croissance saine à l’avenir, c’est clairement que de nombreuses opportunités commerciales légitimes émergeront. Cependant, les gros paiements proviendront toujours des clients étrangers qui paient en dollars – à la fois pour les chapeaux blancs et les chapeaux noirs.

Selon le chercheur en sécurité Karan Saini, pirater le compte Facebook ou de messagerie d’un individu en Inde est un travail qui pourrait rapporter aussi peu que 2 000 ? pour quelqu’un qui est prêt à le faire. Cependant, il existe des sites Web faciles à trouver sur le Web sombre qui sont remplis de clients promettant 500 $ (environ 37 000 ?) pour le même travail. Cela explique en quelques mots les motivations qui animent les hubs de hack-for-location qui surgissent en Inde.