Il gruppo John Wick ha violato l’account Twitter del primo ministro indiano e il sito del popolare canale di notizie indiano News18 per negare il coinvolgimento nell’hacking di PayTM.
Secondo BleepingComputer, un gruppo di hacker afferma di aver violato il sito di notizie CNN-News18 in India per usarlo per confutare le affermazioni di un attacco al PayTM Mall all’inizio di questa settimana.
News18 è un canale di notizie in lingua inglese che fornisce notizie indiane e locali attraverso l’Indian Broadcast Network, nonché notizie internazionali in collaborazione con la CNN.
Nella loro ricerca per sfatare le affermazioni secondo cui erano dietro gli hack di PayTM, "John Wick" aveva anche precedentemente violato l’ account Twitter del Primo Ministro indiano .
Contesto: violazione di PayTM Mall
Paytm Mall è una piattaforma di e-commerce indiana con oltre 5,5 milioni di utenti attivi ogni giorno, 80.000 commercianti e un portafoglio di prodotti di 110 milioni di articoli secondo il rapporto online del 2018.
L’azienda ha subito una grave violazione dei dati quando un gruppo di hacker è riuscito a ottenere un accesso illimitato all’intero database aziendale. Cyble, una piattaforma americana di analisi del rischio informatico, afferma che il gruppo di hacker di John Wick è responsabile di tutto.
Secondo Cyble, "John Wick" ha violato diverse società indiane e ha ricevuto ransomware da varie entità indiane tra cui la piattaforma OTT Zee5, startup fintech, Stashfin, Sumo Payroll, Stashfin, i2ifunding utilizzando altri alias come "Corea del Sud" e "HCKINDIA".
Schermata: Cyble
"John Wick" è stato in grado di caricare una backdoor sul sito Web dell’app Paytm Mall e ha ottenuto l’accesso illimitato a tutti i database, quindi ha chiesto un riscatto di 10 Ethereum (ETH), pari a $ 4.000, che gli hacker hanno chiamato "tassa di aiuto".
Preparati, la storia ha inizio…
Ad agosto, "John Wick" ha inviato un’e-mail a BleepingComputer chiedendo loro di confutare un rapporto pubblicato da Cyble che attribuiva l’attacco al PayTM Mall a un gruppo di hacker.
Gli aggressori hanno quindi affermato di aver violato il sito Web Cyble amibreached.com per scaricare il suo database e installare uno strumento di accesso remoto in una directory pubblica. Tuttavia, il CEO di Cyble, Binu Arora, ha affermato di non essere riuscito a trovare alcuna indicazione che fossero stati violati o che fossero state scaricate tracce di programmi di accesso remoto.
Hack altri siti per confutare un hack
Determinato a provare la sua innocenza nell’attacco al PayTM Mall, "John Wick" ha prima hackerato l’account Twitter del Primo Ministro indiano, dicendo al mondo che non erano gli autori degli hack di PayTM.
“Non c’è altra intenzione di hackerare questo account. Recentemente ci sono state notizie false sul nostro nome che dicevano che PayTM Mall [è stato] violato da noi. Quindi abbiamo inviato un’e-mail a tutti gli editori di notizie in India [che] non siamo noi, ma nessuno ci ha risposto, quindi abbiamo deciso di pubblicarla ", uno dei tweet pubblicati sull’account Twitter ufficiale del Primo Ministro.
Le immagini sottostanti mostrano che gli hacker potrebbero aver violato il canale di notizie indiano News18 e inviato notifiche push ai propri abbonati per negare di essere coinvolti negli attacchi di PayTM.
Notifiche push presumibilmente inviate dal gruppo di hacker "John Wick" dal sito Web di News18 Fonte: Bleeping Computer
La notifica push dice "Il centro commerciale Paytm John Wick non è stato violato dal nostro team".
In un’e-mail inviata a BleepingComputer da John Wick, il gruppo includeva indirizzi IP interni, porte, nomi utente, password e una richiesta JSON con un token di autenticazione presumibilmente utilizzato per inviare notifiche del browser agli abbonati di News18.
Email di John Wick a BleepingComputer che mostra il payload JSON per attivare le notifiche push Fonte: Bleeping Computer
Facendo clic su queste notifiche si apriva una pagina in PasteBin nel browser che una volta smentiva le affermazioni secondo cui PayTM Mall era stato violato dagli aggressori.
Ulteriori schermate fornite dal gruppo stesso mostrano le cartelle per i vari feed linguistici del gruppo News18 ..
Cartelle che possono contenere dati provenienti da diversi canali TV News18 Fonte: Bleeping Computer
Va notato che l’autenticità di questi screenshot non è stata verificata e, nel momento in cui scriviamo, News18 non ha commentato questo presunto hack.
Come con l’hack di ZEE5, quando "John Wick" avrebbe preso il controllo della base di codice dell’azienda, il gruppo di hacker ha fornito schermate che mostravano la cronologia del commit del codice per la base di codice di News18 in modo simile.
Possibile storia di commit del codice per News18 fornita da John Wick Fonte: Bleeping Computer
Naturalmente, in questo caso, la motivazione di John Wick non era quella di raccogliere donazioni. Tuttavia, nel tentativo di dimostrare la loro innocenza con competenza, hanno violato molti più sistemi e sono diventati accuratamente complici di altri crimini, tutto per confutare un’affermazione sull’hacking di PayTM.