Indyjscy hakerzy włamali się do CNN i Twittera premiera, aby zaprzeczyć udziałowi w kolejnym włamaniu
Grupa Johna Wicka włamała się na konto premiera Indii na Twitterze i stronę popularnego indyjskiego kanału informacyjnego News18, aby zaprzeczyć udziałowi w hakowaniu PayTM.
Według BleepingComputer, grupa hakerska twierdzi, że włamała się na serwis informacyjny CNN-News18 w Indiach, aby użyć go do obalenia twierdzeń o włamaniu do PayTM Mall na początku tego tygodnia.
News18 to anglojęzyczny kanał informacyjny, który dostarcza wiadomości z Indii i lokalnych za pośrednictwem Indian Broadcast Network, a także wiadomości międzynarodowe we współpracy z CNN.
W swoim dążeniu do obalenia twierdzeń, że stali za hakerami PayTM, „John Wick" włamał się również wcześniej na konto premiera Indii na Twitterze.
Tło: włamanie do PayTM Mall
Paytm Mall to indyjska platforma e-commerce z ponad 5,5 milionami aktywnych użytkowników dziennie, 80 000 handlowców i portfelem produktów obejmującym 110 milionów pozycji, zgodnie z raportem online z 2018 roku.
Firma doznała poważnego naruszenia bezpieczeństwa danych, gdy grupie hakerów udało się uzyskać nieograniczony dostęp do całej bazy danych firmy. Cyble, amerykańska platforma do analizy ryzyka cybernetycznego, twierdzi, że wszystkiemu winna jest grupa hakerska John Wick.
Według Cyble, „John Wick” włamał się do kilku indyjskich firm i otrzymał oprogramowanie ransomware od różnych indyjskich podmiotów, w tym platformy OTT Zee5, startupów fintech, Stashfin, Sumo Payroll, Stashfin, i2ifunding przy użyciu innych aliasów, takich jak „Korea Południowa” i „HCKINDIA”.
Zrzut ekranu: Cykl
„John Wick” był w stanie załadować backdoora na stronę aplikacji Paytm Mall i uzyskał nieograniczony dostęp do wszystkich baz danych, a następnie zażądał okupu w wysokości 10 Ethereum (ETH), co odpowiada 4000 USD, co hakerzy nazwali „opłatą za pomoc”.
Przygotuj się, zaczyna się historia…
W sierpniu „John Wick” wysłał e-mail do BleepingComputer z prośbą o obalenie raportu opublikowanego przez Cyble, który przypisuje włamanie do PayTM Mall grupie hakerów.
Atakujący następnie twierdzili, że włamali się na stronę Cyble amibreached.com, aby pobrać jej bazę danych i zainstalować narzędzie zdalnego dostępu w katalogu publicznym. Jednak dyrektor generalny Cyble, Binu Arora, powiedział, że nie znaleźli żadnych wskazówek, że zostali zhakowani lub że pobrano ślady programów zdalnego dostępu.
Hakuj inne strony, aby obalić jeden hack
Zdeterminowany, by udowodnić swoją niewinność w ataku na PayTM Mall, „John Wick” najpierw włamał się na konto premiera Indii na Twitterze, mówiąc światu, że to nie oni są sprawcami włamań do PayTM.
„Nie ma innego zamiaru włamania się na to konto. Niedawno pojawiły się fałszywe wiadomości o naszej nazwie, mówiące, że PayTM Mall [zostało] przez nas zhakowane. Wysłaliśmy więc e-mail do wszystkich wydawców wiadomości w Indiach, [że] to nie my, ale nikt nam nie odpowiedział, więc zdecydowaliśmy się go opublikować” – napisał jeden z tweetów na oficjalnym koncie premiera na Twitterze.
Poniższe obrazy pokazują, że hakerzy mogli włamać się do indyjskiego kanału informacyjnego News18 i wysłać powiadomienia push do swoich subskrybentów, aby zaprzeczyć, że byli zaangażowani w ataki hakerskie PayTM.
Powiadomienia push rzekomo wysyłane przez grupę hakerów „John Wick” ze strony News18 Źródło: Bleeping Computer
Powiadomienie push mówi: „Paytm Mall John Wick nie został zhakowany przez nasz zespół”.
W e-mailu wysłanym do BleepingComputer przez Johna Wicka grupa zawierała wewnętrzne adresy IP, porty, nazwy użytkowników, hasła oraz żądanie JSON z tokenem uwierzytelniającym, którego rzekomo używali do wysyłania powiadomień przeglądarki do subskrybentów News18.
E-mail Johna Wicka do BleepingComputer zawierający ładunek JSON do wyzwalania powiadomień push Źródło: Bleeping Computer
Kliknięcie tych powiadomień otwierało stronę w PasteBin w przeglądarce, która kiedyś obaliła twierdzenia, że PayTM Mall został zhakowany przez atakujących.
Dodatkowe zrzuty ekranu dostarczone przez samą grupę pokazują foldery dla różnych kanałów językowych grupy News18 ..
Foldery, które mogą zawierać dane z różnych kanałów telewizyjnych News18 Źródło: Bleeping Computer
Należy zauważyć, że autentyczność tych zrzutów ekranu nie została zweryfikowana, a w chwili pisania tego artykułu News18 nie skomentował tego rzekomego włamania.
Podobnie jak w przypadku włamania do ZEE5, kiedy „John Wick” rzekomo przejął kontrolę nad bazą kodów firmy, grupa hakerów dostarczyła zrzuty ekranu przedstawiające historię zatwierdzania kodu dla bazy kodów News18 w podobny sposób.
Możliwa historia zatwierdzeń kodu dla News18 dostarczona przez Johna Wicka Źródło: Bleeping Computer
Oczywiście w tym przypadku motywacją Johna Wicka nie było zbieranie datków. Jednak, próbując udowodnić swoją niewinność, włamali się do wielu innych systemów i dokładnie stali się wspólnikami w innych przestępstwach – wszystko po to, aby obalić jedno twierdzenie dotyczące włamania do PayTM.