Indische Hacker hacken sich in CNN und Twitter des Premierministers, um die Beteiligung an einem weiteren Hack zu leugnen
Die John-Wick-Gruppe hackte den Twitter-Account des indischen Premierministers und die Website des beliebten indischen Nachrichtensenders News18, um die Beteiligung am PayTM-Hack zu leugnen.
Laut BleepingComputer behauptet eine Hackergruppe, die Nachrichtenseite CNN-News18 in Indien gehackt zu haben, um damit Behauptungen über einen PayTM-Mall-Hack Anfang dieser Woche zu widerlegen.
News18 ist ein englischsprachiger Nachrichtensender, der indische und lokale Nachrichten über das Indian Broadcast Network sowie internationale Nachrichten in Partnerschaft mit CNN anbietet.
In ihrem Bestreben, Behauptungen zu entlarven, dass sie hinter den PayTM-Hacks stecken, hatte „John Wick” zuvor auch den Twitter-Account des indischen Premierministers gehackt.
Hintergrund: PayTM-Mall-Hack
Paytm Mall ist eine indische E-Commerce-Plattform mit täglich über 5,5 Millionen aktiven Nutzern, 80.000 Händlern und einem Produktportfolio von 110 Millionen Artikeln laut Online-Bericht 2018.
Das Unternehmen erlitt eine große Datenpanne, als eine Gruppe von Hackern unbegrenzten Zugriff auf die gesamte Unternehmensdatenbank erlangte. Cyble, eine amerikanische Cyber-Risikoanalyseplattform, behauptet, dass die Hackergruppe John Wick an allem schuld sei.
Laut Cyble hackte „John Wick” mehrere indische Unternehmen und erhielt Ransomware von verschiedenen indischen Unternehmen, darunter die OTT-Plattform Zee5, Fintech-Startups, Stashfin, Sumo Payroll, Stashfin, i2ifunding unter Verwendung anderer Aliase wie „South Korea” und „HCKINDIA”.
Screenshot: Cyble
„John Wick” konnte eine Hintertür auf die Paytm Mall-App-Website hochladen und erhielt unbegrenzten Zugriff auf alle Datenbanken und forderte dann ein Lösegeld von 10 Ethereum (ETH), was 4.000 US-Dollar entspricht, was die Hacker als „Hilfsgebühr” bezeichneten.
Machen Sie sich bereit, die Geschichte beginnt …
Im August schickte „John Wick” eine E-Mail an BleepingComputer und forderte sie auf, einen von Cyble veröffentlichten Bericht zu widerlegen, der den PayTM-Mall-Hack einer Gruppe von Hackern zuschrieb.
Die Angreifer behaupteten dann, die Cyble-Website amibreached.com gehackt zu haben, um ihre Datenbank herunterzuladen und ein Fernzugriffstool in einem öffentlichen Verzeichnis zu installieren. Cyble-CEO Binu Arora sagte jedoch, sie hätten keine Hinweise darauf finden können, dass sie gehackt worden seien oder dass Spuren von Fernzugriffsprogrammen heruntergeladen worden seien.
Hacken Sie andere Websites, um einen Hack zu widerlegen
Entschlossen, seine Unschuld bei dem PayTM-Mall-Angriff zu beweisen, hackte „John Wick” zuerst den Twitter-Account des Premierministers von Indien und sagte der Welt, dass sie nicht die Urheber der PayTM-Hacks seien.
„Es besteht keine andere Absicht, dieses Konto zu hacken. Kürzlich gab es gefälschte Nachrichten über unseren Namen, die besagten, dass PayTM Mall von uns gehackt wurde. Also haben wir eine E-Mail an alle Nachrichtenverleger in Indien geschickt, [dass] wir es nicht sind, aber niemand hat uns geantwortet, also haben wir beschlossen, sie zu veröffentlichen”, einer der Tweets, der auf dem offiziellen Twitter-Account des Premierministers gepostet wurde.
Die Bilder unten zeigen, dass Hacker möglicherweise den indischen Nachrichtensender News18 gehackt und Push-Benachrichtigungen an seine Abonnenten gesendet haben, um zu leugnen, dass sie an den PayTM-Hacks beteiligt waren.
Angeblich von der Hackergruppe „John Wick” versendete Push-Benachrichtigungen von der News18-Website Quelle: Bleeping Computer
Die Push-Benachrichtigung lautet: „Das Paytm-Einkaufszentrum John Wick wurde von unserem Team nicht gehackt.”
In einer von John Wick an BleepingComputer gesendeten E-Mail enthielt die Gruppe interne IP-Adressen, Ports, Benutzernamen, Passwörter und eine JSON-Anfrage mit einem Authentifizierungstoken, das sie angeblich zum Senden von Browserbenachrichtigungen an News18-Abonnenten verwendet haben.
E-Mail von John Wick an BleepingComputer mit der JSON-Nutzlast zum Auslösen von Push-Benachrichtigungen Quelle: Bleeping Computer
Ein Klick auf diese Benachrichtigungen öffnete eine Seite in PasteBin im Browser, die einst Behauptungen widerlegte, dass die PayTM Mall von Angreifern gehackt worden sei.
Zusätzliche Screenshots, die von der Gruppe selbst bereitgestellt wurden, zeigen Ordner für die verschiedenen Sprachfeeds der Gruppe News18 ..
Ordner, die Daten von verschiedenen Fernsehsendern enthalten können News18 Quelle: Bleeping Computer
Es sollte beachtet werden, dass die Echtheit dieser Screenshots nicht verifiziert wurde und News18 zum Zeitpunkt des Schreibens diesen angeblichen Hack nicht kommentiert hat.
Wie beim ZEE5-Hack, als „John Wick” angeblich die Kontrolle über die Codebasis des Unternehmens übernahm, stellte die Hackergruppe Screenshots zur Verfügung, die den Code-Commit-Verlauf für die News18-Codebasis auf ähnliche Weise zeigten.
Möglicher Code-Commit-Verlauf für News18, bereitgestellt von John Wick Quelle: Bleeping Computer
Natürlich war John Wicks Motivation in diesem Fall nicht das Sammeln von Spenden. In dem Versuch, ihre Unschuld kompetent zu beweisen, hackten sie jedoch viele weitere Systeme und wurden zu Komplizen bei anderen Verbrechen – alles, um eine Behauptung über den PayTM-Hack zu widerlegen.