Gawat! Perusahaan IT India Diam-diam Tawarkan Jasa Meretas Politisi, Aktivis HAM, dan Jurnalis
Situs Belltrox sebelum dinonaktifkan
Cyberthreat.id - Sebuah perusahaan teknologi informasi asal India diam-diam menyediakan layanan untuk meretas politisi, pebisnis, aktivis hak asasi manusia, dan jurnalis. Mereka beroperasi dengan menargetkan orang-orang tertentu di enam benua.
Adalah tim peneliti keamanan siber CitizenLab yang berbasis di Toronto, Kanada, yang mengungkap aktivitas perusahaan yang beroperasi dengan nama BellTrox InfoTech dan berbasis di Delhi, India.
Dikutip dari The Hacker News BellTroX InfoTech diduga telah menargetkan ribuan orang terkenal dan ratusan organisasi di enam benua dalam tujuh tahun terakhir. Perusahaan ini memberikan layanan untuk melakukan spionase siber komersial terhadap target yang diberikan atas nama penyelidik swasta dan klien mereka.
Dalam laporannya, Citizen Lab, menyebut kelompok ini sebagai Dark Basin. Cekungan gelap. Dalam penelitiannya selama beberapa tahun, Citizen Lab mengungkapkan ada kemungkinan Dark Basin melakukan spionase komersial atas nama klien mereka terhadap lawan-lawan yang terlibat dalam acara-acara publik terkenal, kasus-kasus kriminal, transaksi keuangan, berita, dan advokasi.
Penyelidikan dimulai pada 2017 ketika Citizen Lab dihubungi oleh seorang jurnalis yang menjadi sasaran peretasan lewat metode phishing. Jurnalis itu meminta Citizen lab membantu menyelidikinya. Tim peneliti menemukan upaya phishing dilakukan dengan memendekkan URL agar tidak terbaca sebagai tautan phishing berbahaya.
"Kami menemukan bahwa (tools) pemendek ini adalah bagian dari jaringan pemendek URL khusus yang lebih besar yang dioperasikan oleh satu grup, yang kami sebut Dark Basin," tulis peneliti CitizenLab dalam situs web resminya (9 Juni 2020).
Para peneliti menemukan bahwa penyerang menggunakan penyingkat URL yang sama untuk menyamarkan setidaknya 28.000 tautan phishing lainnya yang berisi alamat email dari target. Para peneliti menggunakan teknik intelijen open source untuk mengidentifikasi ratusan individu dan organisasi yang ditargetkan, kemudian menghubungi sebagian kecil dari target, dan mengumpulkan gambaran global tentang penargetan Dark Basin.
"Investigasi kami menghasilkan beberapa kelompok kepentingan yang akan kami uraikan dalam laporan ini, termasuk dua kelompok organisasi advokasi di Amerika Serikat."
Awalnya, para peneliti mencurigai perusahaan ini disponsori negara. Namun, setelah melihat berbagai targetnya kecurigaan itu tidak terbukti. Sebab, target dari Dark Basin seringkali hanya pada satu sisi proses hukum, masalah advokasi, atau kesepakatan bisnis yang diperebutkan. Ini cukup menjelaskan jika ini memang murni operasi peretasan.
Tak hanya itu, Dark Basin juga menargetkan puluhan jurnalis di berbagai negara. Citizen Lab sudah bekerja dengan beberapa jurnalis selama tiga tahun terakhir untuk membantu mereka menyelidiki kasus ini.
Selain itu, Citizen Lab juga bekerjasama dengan perusahaan keamanan siber NortonLifeLock, yang telah melakukan penyelidikan paralel terhadap Dark Basin, yang mereka sebut sebagai "Mercenary.Amanda". Keduanya berbagi indikator dan informasi teknis mengenai Dark Basin.
Para peneliti mengungkapkan mereka menemukan keterangan waktu dalam ratusan email yang dikirim oleh Dark Basin konsisten dengan jam kerja di zona waktu UTC + 5: 30 di India. Korelasi waktu yang sama juga ditemukan oleh Electronic Frontier Foundation (EFF) dalam penyelidikan sebelumnya terhadap pesan phishing yang menargetkan kelompok-kelompok advokasi Net Neutrality. Selain itu, beberapa layanan pemendekan URL Phising yang digunakan oleh Dark Basin memiliki nama yang berkaitan dengan India, seperti Holi, Rongali, dan Pochanchi.
"Dark Basin meninggalkan salinan kode sumber kit phishing yang tersedia secara online, dan juga file log yang menunjukkan aktivitas pengujian. Kode logging oleh kit phishing mencatat cap waktu di UTC + 5: 30, dan file log menunjukkan bahwa Dark Basin melakukan beberapa pengujian menggunakan alamat IP di India."
Para peneliti di CitizenLab dan juga NortonLifeLock meyakini banyak tautan teknis itu terkait dengan BellTroX. Para peneliti telah mengidentifikasi beberapa karyawan BellTroX yang kegiatannya tumpang tindih dengan Dark Basin. Mereka kebanyakan menggunakan dokumen pribadi, termasuk CV, sebagai konten umpan ketika menguji pemendek URL Phising.
"BellTroX dan karyawannya tampaknya menggunakan eufemisme untuk mempromosikan layanan mereka secara online, seperti menggunakan istilah "Peretasan Etis" dan "Peretas Etis Bersertifikat". Ini sesuai dengan slogan BellTroX,"Anda inginkan, kami lakukan!."
Selain mengirimkan email berisi tautan phishing, pelaku juga membuat website palsu yang mirip Google Mail, Yahoo Mail, Facebook, LinkedIn dalam lainnya. Lewat tautan phising, target diarahkan untuk login ke situs palsu itu. Begitu itu dilakukan, username dan password akan terekam dan bisa digunakan oleh pelaku untuk mengambil alih akun asli mereka.
Situs palsu yang dibuat menyerupai aslinya
Menurut CitizenLab, BellTroX dan karyawannya menerima orderan dari orang-orang yang mendaftar sebagai:
1. Seorang pejabat di pemerintahan Kanada.
2. Seorang penyelidik di Komisi Perdagangan Federal AS dan sebelumnya penyidik kontrak untuk Patroli Kepabeanan dan Perbatasan AS.
3. Petugas penegak hukum lokal dan negara bagian saat ini.
4. Investigator swasta, banyak dengan peran sebelumnya dalam FBI, polisi, militer dan cabang pemerintah lainnya.
Yang menarik, Sumit Gupta, pemilik perusahaan BellTroX, pernah didakwa di California pada 2015 karena perannya dalam skema retasan serupa, bersama dengan dua penyelidik swasta yang mengaku membayarnya untuk meretas akun eksekutif pemasaran.
Tak hanya itu, setelah mengamati aktivitas Dark Basin selama beberapa tahun, termasuk aktivitas media sosial dan postingan individu yang bekerja di BellTroX, beberapa orang yang terdaftar di LinkedIn yang bekerja untuk BellTroX menyebutkan kegiatan yang menunjukkan kemampuan peretasan. Aktivitas staf BellTroX yang terdaftar di LinkedIn meliputi penetrasi email, eksploitasi, spionase perusahaan, telepon pinger, dan melakukan operasi intelijen siber.
Citizen Lab memberi tahu ratusan individu dan institusi yang ditargetkan oleh BellTroX dan berbagi temuan mereka dengan Departemen Kehakiman Amerika Serikat (DOJ) atas permintaan beberapa target. Target mereka mulai dari pejabat pemerintah senior dan kandidat di beberapa negara hingga perusahaan jasa keuangan seperti hedge fund dan bank. Ada pula organisasi lingkungan Greenpeace, perusahaan farmasi, lembaga advokat kebijakan publik, dan masih banyak yang tidak disebutkan peneliti dalam klaster penelitian mereka atas dasar permintaan.
Jika dilihat dari serangannya, penargetan Dark Basin mengungkapkan pemahaman yang sangat rinci dan akurat tentang target dan hubungan mereka. Email phising tidak hanya berasal dari akun yang menyamar sebagai kolega target, tetapi orang-orang yang menunjukkan bahwa mereka memiliki pengetahuan yang mendalam tentang hierarki organisasi informal target mereka.
Menurut CitizenLab, maraknya peretasan berbayar dalam skala besar ini mengancam masyarakat sipil dan membahayakan organisasi yang mungkin tidak memiliki perlindungan keamanan siber yang canggih.
"Kami percaya sangat mendesak bagi semua pihak yang terlibat dalam peretasan ini bertanggung jawab secara penuh," kata CitizenLab.
Situs beltrox.com tidak aktif lagi, diakses pada Rabu siang, 10 Juni 2020.
Cyberthreat.id mencoba mengakses laman situs web BellTroX InfoTech yang beralamat di http://belltrox.com. Saat diakses pada Rabu siang (10 Juni 2020), situs itu sudah tidak aktif lagi.
Sementara pencarian Google Maps menyebut kantor perusahaan di Delhi yang terdaftar dengan nama "Belltrox Digital Security" itu telah ditutup sementara. []
Editor: Yuswardi A. Suud
Baca juga:
Update 1 Juli 2021:
