这两天，公民实验室Citizen Lab（简称：Citizen Lab）扒掉了一家印度公司的底裤。Citizen Lab的研究员称其正在进行：“有史以来规模最大的雇佣间谍活动之一。”

BellTroXInfoTech（简称：BellTroX）是一家貌不惊人的印度信息技术服务公司，明面上，它扮演着好好先生的角色，是一家服务于医院、诊所、专家证人、独立从业者和企业等群体的转录和听写服务提供商。

背地里，他却则干着为客户提供黑客间谍情报服务的勾当，在长达7年的时间里对全球超过1万个电子邮件账户进行了入侵。把邪恶的触手伸向了欧洲的政府官员、巴哈马的博彩大亨以及美国著名投资机构等群体，其中就包括美国私募股权巨头KKR和做空机构浑水（Muddy Waters）。

没错，那家忙着调查别人家的公司，实际上，它也在被别人“调查”。

（BellTroX公司官网）

“印度无名小IT公司”罪行初现端倪

2017年，一名被钓鱼攻击的记者向Citizen Lab求助，询问是否可以对不堪其扰的钓鱼邮件进行调查。

随后，Citizen Lab对发来的钓鱼链接进行了溯源分析， Citizen Lab很快发现，这很可能是一个“黑客雇佣军”在全球范围内发起的黑客入侵活动。

CitizenLab将这一黑客雇佣军组织标记命名为 “Dark Basin”（黑暗盆地）。

跨越万里的邮件 ，一路追溯到印度

在对钓鱼链接进行了溯源分析时，Citizen Lab通过技术手段追查到了大量包含相同钓鱼链接的URL地址。在这里，Citizen Lab顺利的找到了抽丝剥茧的线头。

他们发现，在大量的钓鱼邮件中，有数百封邮件中的时间戳与印度UTC + 5：30时区的工作时间相吻合，可以加以猜测，这些邮件的源头可能是印度。

接下来，Citizen Lab又相继在Dark Basin组织使用的URL缩短服务中发现了几个与印度相关的名词：Holi，Rongali和Pochanchi，它们分别是印度宗教中两个著名的节日，以及音译的孟加拉数字“55”。

在钓鱼邮件的日志记录代码中，有些代码也以UTC + 5：30记录了时间戳，日志文件还显示Dark Basin似乎使用印度的IP地址进行了一些测试。

这绝非巧合。

毕竟再高超的黑客技术，也难以掩盖技术背后那些人的生活痕迹。

（Dark Basin使用的URL缩短服务）

有记忆的互联网，难以清除的蛛丝马迹

紧接着Citizen Lab继续顺着发现的线索一路查了下去，当他们在印度的一些网站进行信息检索时再次有了新发现。他们在领英上发现了一家名为BellTroX的公司。该公司雇员的工作职责描述写的十分耐人寻味，描述中这样写道：工作内容包括电子邮件渗透、广告推销、企业间谍、声波发射、提供网络情报等。

BellTroX公司的雇员们还在社交媒体上发帖赞扬了攻击技术，并附上了含有Dark Basin相关链接的截图。

（BellTroX公司员工在社交媒体中发布的攻击技术讨论贴）

就这样经过一步步推敲，Citizen Lab最终捋清了Dark Basin与BellTroX之间千丝万缕的联系，BellTroX公司就是操纵Dark Basin组织的幕后黑手！

大肆兜售黑客间谍服务，广撒网“监视全球”

在上文中提到， Citizen Lab在分析求助者发来的钓鱼邮件时，Citizen Lab通过技术手段追查到了大量包含相同钓鱼链接的URL地址，这才得以一步步追踪到这个神秘的黑客雇佣组织。

而这正是得益于Dark Basin使用的一种用于掩盖钓鱼网站的技术——URL缩短器。

URL缩短器，顾名思义就是把网址变短的工具。

它是一个网络站点，可以从一个长的URL中生成一个短的URL或者网页地址，以方便记忆和输入。通过URL缩短服务来维护两个URL之间的对应关系，并且可以在人们输入较短的URL的时候重定向到长的URL页面上。

例如，如果你需要频繁访问在电子邮件消息中输入一个URL，或者通过电话来说这个网址，那么长的统一资源定位符就更容易拼写错误或者理解错误。网址缩短器就是专为解决这个问题而生的神器。

当然，任何技术都拥有其“双刃剑效应”。黑客们就抓住了网址缩短器的弊端，伪造出了更加真实的钓鱼页面。

（CitizenLab观察到的自定义URL缩短器示例）

言归正传， 通过这个发现，Citizen Lab观察到Dark Basin使用的恶意URL缩短程序都会运行一个名为Phurl的开源URL缩短软件。再对该软件的代码分析，就轻易的追踪到了Dark Basin运营的28种独特的URL缩短服务，进而枚举出了包含相同钓鱼软件的27,591个URL地址。

在分别联系部分URL目标所属的个人或机构后，Citizen Lab发现Dark Basin尝试攻击的目标十分广泛且涉及多个行业。

其中最受关注的行业包括全球多家银行和金融业务公司，律师事务所，能源行业企业和政府机构。其中不乏多个政府官员、行业知名人士、律师、投资者与媒体记者。其业务范围之广，称之“正监视全球”也毫不为过。

钓鱼邮件是黑客组织最擅长利用的重要手段

纽约做空公司Safkhet Capital 正是 2017-2019 年 BellTroX 瞄准的 17 家投资公司之一，在路透社对 Safkhet Capital 创始人 Fahmi Quadir 的采访中，她表示，在基金启动不久后，自己就注意到了电子邮件数据的激增。最初“似乎并不是恶意邮件，只是占星术之类的内容。然后变成色情内容。”

最终，黑客们又加大了攻击力度，伪装成同事、家人或其他做空机构，还有的邮件则伪装成了Facebook登录请求或色情网站退订邮件。 

我们也不难看出，钓鱼邮件依旧是Dark Basin，也是同类黑客组织的重要攻击方式。

网络犯罪服务正变得更廉价，更容易获取

一家圣迭戈私家侦探公司在接受采访时表示，他们就曾经收到号称可以提供“数据渗透”和“电子邮件渗透”服务的来自印度黑客广告，其中有一个销售还自称是BellTroX的前雇员。

而在全球范围内，有十余家欧美私家侦探都表示曾经收到过类似广告。

DarkBasin的成千上万个目标表明，这些攻击目标遍布各国政治领域和全球商业公司，以及个人。甚至就连Citizen Lab也无法确认是谁在雇佣Dark Basin从事黑客间谍活动，事实上，网络犯罪服务正在变得更便宜，也更容易获取，任何国家或私人机构都可以轻易从地下暗网市场上购买此类网络犯罪服务。

另一安全巨头趋势科技在其最新发布的暗网调查白皮书中也曾提到，在暗网中销售的网络犯罪服务日益常见，网络犯罪服务价格也有所下降。

2020年，美国信用卡的价格约为1美元，而2015年为20美元。俄罗斯的僵尸网络也变得相对便宜，价格约为200美元。通用僵尸网络每天的费用约为5美元，而开发人员只需100美元即可获得它们。北美市场的加密服务已从1,000美元降至平均每月100美元，便宜的服务价格为20美元。

商业黑客活动兴起，社会信息安全再亮警灯

尽管在Citizen Lab公布的数据中我们能够看到，有大量的攻击目标是与商业相关的投资机构、金融服务机构，以及大量针对个人的攻击，不难看出是与商业窃密，或是个人纠纷相关。

但那些针对政府政要高官、选民，以及媒体记者的钓鱼攻击，背后明显隐藏着更大的野心。或许下一次因雇佣黑客干预大选导致的政党冲突，因黑客操控舆论而引发的国际形势动荡，都与其难逃干系。

事实上，无论这些网络黑客雇佣军受雇于谁，商业黑客行为已经成为了一个全球性的安全问题。这样大规模的商业黑客活动一旦兴起，必将会给社会安全带来难以估量的后果。

参考资料：

[1] thehackernews 《印度IT公司被雇佣来入侵全球的政治家，投资者和记者》

[2] citizenlab《黑暗盆地：发现大规模受雇佣的黑客行动》