Des pirates informatiques indiens piratent CNN et Twitter du Premier ministre pour nier toute implication dans un autre piratage
Le groupe John Wick a piraté le compte Twitter du Premier ministre indien et le site de la populaire chaîne d’information indienne News18 pour nier toute implication dans le piratage de PayTM.
Selon BleepingComputer, un groupe de piratage affirme avoir piraté le site d’information CNN-News18 en Inde pour l’utiliser pour réfuter les allégations de piratage de PayTM Mall plus tôt cette semaine.
News18 est une chaîne d’information en anglais qui fournit des informations indiennes et locales via le réseau de diffusion indien, ainsi que des informations internationales en partenariat avec CNN.
Dans leur quête pour démystifier les affirmations selon lesquelles ils étaient derrière les piratages de PayTM, "John Wick" avait également précédemment piraté le compte Twitter du Premier ministre indien .
Contexte: piratage de PayTM Mall
Paytm Mall est une plateforme de commerce électronique indienne avec plus de 5,5 millions d’utilisateurs actifs quotidiens, 80 000 marchands et un portefeuille de produits de 110 millions d’articles selon le rapport en ligne de 2018.
L’entreprise a subi une grave violation de données lorsqu’un groupe de pirates a pu obtenir un accès illimité à l’ensemble de la base de données de l’entreprise. Cyble, une plateforme américaine d’analyse des risques cyber, affirme que le groupe de hackers John Wick est responsable de tout.
Selon Cyble, "John Wick" a piraté plusieurs sociétés indiennes et a reçu des rançongiciels de diverses entités indiennes, notamment la plateforme OTT Zee5, des startups fintech, Stashfin, Sumo Payroll, Stashfin, i2ifunding en utilisant d’autres alias tels que "Corée du Sud" et "HCKINDIA".
Capture d’écran : Cyble
« John Wick» a pu télécharger une porte dérobée sur le site Web de l’application Paytm Mall et a obtenu un accès illimité à toutes les bases de données, puis a exigé une rançon de 10 Ethereum (ETH), équivalant à 4 000 $, que les pirates ont appelée «frais d’assistance ».
Préparez-vous, l’histoire commence…
En août, "John Wick" a envoyé un e-mail à BleepingComputer leur demandant de réfuter un rapport publié par Cyble qui attribuait le piratage de PayTM Mall à un groupe de pirates.
Les attaquants ont ensuite affirmé avoir piraté le site Cyble amibreached.com pour télécharger sa base de données et installer un outil d’accès à distance dans un répertoire public. Cependant, le PDG de Cyble, Binu Arora, a déclaré qu’il n’avait trouvé aucune indication qu’ils avaient été piratés ou que des traces de programmes d’accès à distance avaient été téléchargées.
Pirater d’autres sites pour réfuter un piratage
Déterminé à prouver son innocence dans l’attaque du centre commercial PayTM, "John Wick" a d’abord piraté le compte Twitter du Premier ministre indien, disant au monde qu’ils n’étaient pas les auteurs des piratages PayTM.
"Il n’y a aucune autre intention de pirater ce compte. Récemment, il y a eu de fausses nouvelles à propos de notre nom disant que PayTM Mall [a été] piraté par nous. Nous avons donc envoyé un e-mail à tous les éditeurs de presse en Inde [que] ce n’est pas nous, mais personne ne nous a répondu, alors nous avons décidé de le publier », l’un des tweets posté sur le compte Twitter officiel du Premier ministre.
Les images ci-dessous montrent que des pirates ont peut-être piraté la chaîne d’information indienne News18 et envoyé des notifications push à leurs abonnés pour nier qu’ils étaient impliqués dans les piratages PayTM.
Notifications push prétendument envoyées par le groupe de hackers «John Wick» depuis le site Web News18 Source: Bleeping Computer
La notification push indique "Le centre commercial Paytm John Wick n’a pas été piraté par notre équipe."
Dans un e-mail envoyé à BleepingComputer par John Wick, le groupe a inclus des adresses IP internes, des ports, des noms d’utilisateur, des mots de passe et une demande JSON avec un jeton d’authentification qu’ils auraient utilisé pour envoyer des notifications de navigateur aux abonnés de News18.
Courriel de John Wick à BleepingComputer montrant la charge utile JSON pour déclencher les notifications push Source: Bleeping Computer
En cliquant sur ces notifications, une page a été ouverte dans PasteBin dans le navigateur qui a jadis réfuté les affirmations selon lesquelles PayTM Mall avait été piraté par des attaquants.
Des captures d’écran supplémentaires fournies par le groupe lui-même montrent des dossiers pour les différents flux linguistiques du groupe News18 ..
Dossiers pouvant contenir des données de différentes chaînes de télévision News18 Source: Bleeping Computer
Il convient de noter que l’authenticité de ces captures d’écran n’a pas été vérifiée et, au moment de la rédaction, News18 n’a pas commenté ce piratage présumé.
Comme pour le piratage ZEE5, lorsque "John Wick" aurait pris le contrôle de la base de code de l’entreprise, le groupe de hackers a fourni des captures d’écran montrant l’historique de validation du code pour la base de code News18 de la même manière.
Historique de validation de code possible pour News18 fourni par John Wick Source: Bleeping Computer
Bien sûr, dans ce cas, la motivation de John Wick n’était pas de collecter des dons. Cependant, dans une tentative de prouver leur innocence avec compétence, ils ont piraté de nombreux autres systèmes et sont devenus complices d’autres crimes avec précision – le tout dans le but de réfuter une affirmation concernant le piratage PayTM.