Cine deține informațiile, deține lumea: Industrial Spy

La începutul lunii, compania Novartis anunța că datele sale nu au fost compromise, deși hackerii de la Industrial Spy au susținut că informațiile furate de la Novartis și apoi puse în vânzare au fost obținute „direct din mediul de laborator al fabricii”.

Despre incidentul cibernetic de la Novartis, în urma căruia 7,7 MB de date PDF au fost puse la vânzare pe internet, nu se știe prea mult.

Novartis, unul dintre cele mai importante concerne farmaceutice din lume, alături de Pfizer, Sanofi-Aventis și GlaxoSmithKline, a refuzat să comenteze, limitându-se la a declara că au fost luate măsuri.

Dar Industrial Spy a postat pe piața accesibilă prin Tor, date despre care a pretins că se referă la tehnologia și testele Novartis bazate pe ADN și ARN.

Anterior, o altă victimă: Institutul Fraunhofer pentru Microstructura Materialelor și Sistemelor din Germania, instituție care susține că pune accent pe tehnologiile cheie relevante pentru viitor și pe exploatarea rezultatelor în afaceri și industrie. Fondată în 1949, Societatea Fraunhofer este o organizație germană cuprinzând 76 de institute și facilități de cercetare și peste 30.000 de angajați. Volumul anual al cercetării este de 2,9 miliarde de euro.

Ca și Novartis, Institutul Fraunhofer a declarat doar că a fost ținta „unui atac cibernetic limitat” și că a luat măsuri pentru a diminua cât mai mult posibil pagubele, situația fiind sub control.

În urma atacului informatic, cel mai probabil desfășurat în luna aprilie, peste 320 de GB de date au fost furate, date pentru care Industrial Spy a cerut 2,2 milioane de dolari SUA, în bitcoin.

Considerată piatră de hotar în atacurile cibernetice, Industrial Spy este o nouă platformă darknet lansată la mijlocul lunii martie.

‍

Platforma Industrial Spy a fost împărțită în trei secțiuni principale: Secțiunea „Premium”, pentru achiziționarea exclusivă de date noi; secțiunea „General”, unde ofertele sunt transferate în cazul în care oferta inițială de șapte zile nu a avut succes și secțiunea „Gratuit”, care oferă utilizatorilor înregistrați acces deplin la datele publicate.

De exemplu, Industrial Spy a avut la vânzare datele unei companii indiene în categoria „Premium” pentru 1,4 milioane de dolari, plătite în bitcoin. Dar alte date sunt vândute ca fișiere individuale, care pot fi achiziționate pentru 2 USD fiecare.

Este posibil ca depozitele de date disponibile gratuit pe Industrial Spy să provină de pe site-urile de scurgeri ale grupurilor de ransomware sau din alte forumuri de hacking. Unele dintre companiile ale căror date sunt oferite în secțiunea „General” au suferit, anterior, atacuri ransomware.

Cercetătorii de securitate cibernetică de la BleepingComputer și MalwareHunterTeam, care analizează platforma Industrial Spy, au descoperit executabile malware care creează fișiere README.txt pentru a promova site-ul. Când sunt accesate, aceste fișiere malware vor crea fișiere text în fiecare folder de pe dispozitiv, conținând o descriere a serviciului și un link către site-ul Tor.

„Poți cumpăra sau descărca gratuit date private și compromițătoare ale concurenților tăi. Noi scheme publice, desene, tehnologii, secrete politice și militare, rapoarte contabile și baze de date clienți”, se arată într-un fișier README.txt.

Potrivit BleepingComputer, între timp Industrial Spy și-a lansat propria operațiune de ransomware, o investigație suplimentară sugerând legătura cu o altă grupare de ransomware, Cuba Ransomware.

Piețele de date furate nu sunt noi, dar Industrial Spy, în loc să șantajeze companii și să le sperie cu amenzi GDPR, se promovează ca o piață în care companiile pot achiziționa datele concurenților.

Și o face într-un mod exotic: „Cu informațiile noastre puteți refuza relația cu un partener fără scrupule, puteți dezvălui secretele murdare ale concurenților dumneavoastră și puteți câștiga milioane de dolari folosind informații privilegiate”.

Grupul utilizează, de asemenea, conturi Twitter și Telegram pentru a împărtăși informații despre disponibilitatea seturilor de date.

Țintele Industrial Spy sunt, în principal, din SUA și Europa de Vest (80%) și variază foarte mult atât ca venituri, cât și ca industrie, de la companii de software și medicale la companii de producție și asigurări. Printre acestea se numără: KSB (Germania/Franța), APSM (SUA), Enviroplas (SUA), MEIJI Corporation (SUA), Flights Tech (Canada), IAR Systems (Suedia), IN2 (Marea Britanie).

Zataz - un proiect personal al jurnalistului Damien Bancal, care își propune să publice informații referitoare la criminalitatea informatică - a reușit să descopere câteva zeci de victime, mai mult de jumătate dintre ele în secțiunea „Gratuit”.

Zataz a aflat că, pentru datele furate de la French Hospital Group, hackerii pretind 1,3 milioane de dolari SUA pentru mai mult de 28 GB exfiltrați în aprilie 2022. Zataz a observat  în pachetul afișat de hackeri fișiere numite „informații de plată”, „pacienți”, „prescripție 2022”.

Cine se află în spatele Industrial Spy?

‍

Nu se știe. Dar un cercetător de securitate a postat pe Twitter, la sfârșitul lunii aprilie, că a primit un răspuns în alfabetul chirilic atunci când a completat înregistrarea online pe dark web.

Dintre platformele de tranzacționare a datelor pe darknet, Industrial Spy este cea care se concentrează cel mai mult pe exploatarea potențialului oferit de încălcările, din interior, ale protocoalelor de securitate.

Organizațiile de toate tipurile au fost întotdeauna vulnerabile la astfel de abateri din partea angajaților nemulțumiți sau care și-au căutat mijloace mai puțin ortodoxe de rotunjire a veniturilor, dar acești angajați au acum la îndemână noi instrumente: darknetul, browserul Tor, conexiunile VPN.

Termenii „deep web” și „dark web” sunt uneori folosiți ca sinonime, deși nu sunt. Deep web se referă la orice lucru de pe internet care nu este indexat și, prin urmare, accesibil printr-un motor de căutare precum Google. Conținutul profund al web include orice se află în spatele unui paywall sau necesită acreditări de conectare. Include, de asemenea, orice conținut pe care proprietarii săi l-au blocat pe crawlerele web de la indexare. Fișele medicale, conținutul contra cost, site-urile web de membru și paginile web confidențiale se află în deep web, estimat între 96% și 99% din internet.

Dark webul este o parte criptată a lumii online care nu este indexată de motoarele de căutare și poate fi accesată doar folosind browsere specializate. Web-ul întunecat conține date de afaceri, personale și guvernamentale, cum ar fi informații bancare, planuri, acreditări, date despre cărți de credit, înregistrări financiare, secrete guvernamentale, proprietate intelectuală, dosare medicale, date de cercetare, planuri de securitate și multe altele. Câteva prețuri pentru date și servicii tranzacționate pe dark web conform Privacy Affair 2021: card de credit clonat cu PIN: 25 USD până la 35 USD, detaliile cardului de credit cu soldul contului de până la 5.000 USD: 240 USD, cont Gmail spart: 80 USD, cont de social media piratat: de la 1 USD la 60 USD, pașaport Franța: 4.000 USD, transferuri PayPal din conturi furate: 50 USD până la 340 USD, baza de date privată a stomatologilor din SUA 122k: 50 USD.

Accesarea dark web-ului necesită două instrumente: o rețea privată virtuală (VPN) și un browser specializat. Majoritatea site-urilor dark web folosesc software-ul Tor (Onion Router), iar un număr mai mic utilizează un instrument similar numit I2P (Invisible Internet Project).

Tor este un browser web gratuit, open-source, care își propune să păstreze anonimatul utilizatorilor. Pentru a realiza acest lucru, browserul Tor canalizează activitățile de internet prin mai multe adrese IP. Tor este folosit pentru a anonimiza navigarea online, dar este și principala cale către dark web.

Doar că Tor nu este sigur. Acesta este motivul pentru care este întotdeauna recomandat și un VPN, o rețea privată virtuală care redirecționează traficul de internet printr-un server dintr-o altă țară. Prin utilizarea unui VPN, adresa IP reală este mascată. Un VPN îngreunează, de asemenea, ca hackerii, dar și guvernul sau furnizorul de servicii de internet să-și dea seama ce faci online.

Dark web și browserul Tor sunt legale în majoritatea țărilor.

Un risc asociat cu utilizarea Tor ar fi că ești adăugat pe lista Agenției Naționale de Securitate (NSA) atunci când îl descarci pentru prima dată.

Tehnologia Tor originală care a permis site-urilor web întunecate să înflorească nu a fost creată de criminali cibernetici, ci de armata SUA, astfel încât spionii să poată face schimb de informații în mod anonim.

În anii 1990, informațiile au devenit din ce în ce mai digitalizate și nu a mai fost nevoie ca spionii să-și transmită rapoartele prin intermediul mass-media de modă veche, prin radio sau scrisori. Internetul și noile tehnici criptografice au înlocuit vechile medii de comunicare.

Ca urmare, Laboratorul de Cercetare Navală din SUA a început un program care avea să devină în cele din urmă, în 1995, The Onion Router. Cu Tor, agențiile de intelligence au dobândit un mijloc de comunicații criptat pentru agenții lor de teren.

În jurul anului 1997, proiectul a fost transmis Defense Advanced Research Projects Agency (DARPA), o agenție a Departamentului Apărării care are rolul de a dezvolta noi tehnologii pentru forțele armate. DARPA l-a dezvăluit mai multor grupuri pentru drepturile civile. De ce? Una dintre explicațiile larg vehiculate este că guvernul SUA a trebuit să deschidă rețeaua anonimă, astfel încât agenții americani să o poată folosi de oriunde în lume în orice moment. Dezavantajul este că rețeaua a devenit vulnerabilă la infiltrare.

O altă explicație este că, dacă agenții de informații americani ar fi folosit exclusiv această rețea, atunci, evident, orice astfel de comunicare ar fi fost direct legată de guvernul SUA.

Nu totul este ilegal, darkweb are și o latură legitimă. De exemplu, te poți alătura unui club de șah sau BlackBook, o rețea socială descrisă drept „Facebook-ul lui Tor”.

În timp ce dark web este popular printre infractorii cibernetici care vând produse și servicii ilegale online, alții, cum ar fi jurnaluștii, activiștii politici sau avertizorii, pot folosi rețeaua pentru a împărtăși informații extrem de sensibile.

Site-urile de știri precum BBC, serviciile de e-mail precum ProtonMail și site-urile de torrent precum The Pirate Bay au toate site-uri cu extensia .onion. Aceste site-uri aflate pe dark web sunt, de obicei, destinate persoanelor care nu pot accesa versiunea web de suprafață a site-ului.

New York Times poate fi găsit la adresa

https://ej3kv4ebuugcmuwxctx5ic7zxh73rnxt42soi3tdneu2c2em55thufqd.onion/, iar BBC la http://bbcnewsd73hkzno2ini43t4gblxvycyac5aw4gnv7t2rccijh7745uqd.onion/.

Rețeaua Tor poate fi atât benefică, cât și periculoasă în același timp. Dark web poate fi util pentru persoanele care trăiesc sub regimuri opresive ori, în societățile mai libere, poate fi un instrument destinat criticii și dezvăluirilor sub protecția anonimatului.

Inclusiv agențiile de informații dețin un segment „dark”

‍

„Dacă vă aflați în afara Rusiei și aveți informații importante cu privire la amenințările urgente la adresa securității Federației Ruse, le puteți partaja în siguranță și anonim cu noi prin sistemul de recepție virtuală al SVR prin rețeaua Tor”, afirmă SVR, serviciul de informații externe al Rusiei, pe site-ul său oficial.

Site-ul Tor al SVR, aflat la adresa svrgovru24yd42e6mmrnohzs37hb35yqeulvmvkc76e3drb75gs4qrid.onion, funcționează similar cu SecureDrop, un proiect open-source care permite organizațiilor guvernamentale, ONG-urilor și agențiilor de presă să primească sfaturi anonime.

Agenția Centrală de Informații (CIA) are și ea o versiune găzduită de Tor a site-ului său oficial, lansată în mai 2019: ciadotgov4sjwlzihbbgxnqg3xiyrg7so2r2o3lt5wz5ypk4sxyjstad.onion.

Diferența este că site-ul Tor al CIA este doar o versiune identică a site-ului său oficial și nu permite americanilor obișnuiți care locuiesc în SUA sau în străinătate să notifice agenția într-un mod asemănător cu SVR-ul rusesc.

Creșterea tranzacțiilor ilegale din dark web a determinat desfășurarea unor operațiuni de blocare a acestora de către autorități, precum și a unor încercări de reglementare a criptomonedelor care alimentează piețele dark web.

În februarie, Departamentul de Justiție al Statelor Unite, FBI, Serviciul Secret și Serviciul Fiscal Intern de Investigații Criminale, în cooperare cu Europol, Agenția Națională pentru Crimă a Regatului Unit, Autoritatea de Poliție Suedeză, Poliția Română și alte agenții au confiscat domeniile de internet legate de RaidForums, unul dintre cele mai cunoscute forumuri de hackeri.

RaidForums era un loc pentru a cumpăra și vinde informații personale și acreditări furate către dispozitive, conturi și rețele piratate. Pe parcursul a șapte ani de existență, RaidForums a acumulat aproximativ jumătate de milion de utilizatori înregistrați.

Operațiunea a fost numită „Tourniquet” și a culminat cu confiscarea site-ului și reținerea fondatorului și administratorului acestuia, un cetățean portughez de 21 de ani.

În luna aprilie, Bundeskriminalamt (Oficiul Federal German de Poliție Criminală) a anunțat capturarea serverelor care reprezentau coloana vertebrală a Hydra Shop. Alături de servere, autoritățile germane au capturat portofele cripto care conțineau aproximativ 543 bitcoin, ceea ce însemna peste 23 de milioane de euro.

Hydra Shop a apărut în 2015, după cvasi-fuziunea altor două piețe darknet, Way Away și Legal RC.1, cunoscute pentru vânzarea de canabinoizi sintetici și medicamente și își avea publicul țintă în țările ex-URSS, cu precădere Rusia, Belarus și Kazahstan. Se presupune și că administrarea acestei piețe provenea din Rusia, iar Serviciul Federal de Securitate al Rusiei (FSB) avea o relație strânsă cu infractorii cibernetici ai site-ului.

Deocamdată se pare că un nou actor important a intrat în joc, unul care a împrumutat cuvintele bancherului german Nathan Mayer Rothschild: „Who owns the information owns the world”.

Pe Industrial Spy îl poți găsi la adresa:

HTTP[:]//spyarea23ttlty6qaXXXXXXXXXXXXXXj5onstsjad.onion/

Este necesar browserul Tor.

‍