Hackers indianos invadem a CNN e o Twitter do primeiro-ministro para negar envolvimento em outro hack
O grupo John Wick invadiu a conta do Twitter do primeiro-ministro indiano e o site do popular canal de notícias indiano News18 para negar envolvimento no hack do PayTM.
De acordo com o BleepingComputer, um grupo de hackers afirma ter hackeado o site de notícias CNN-News18 na Índia para usá-lo para refutar as alegações de um hack do PayTM Mall no início desta semana.
News18 é um canal de notícias em inglês que fornece notícias locais e indianas por meio da Indian Broadcast Network, bem como notícias internacionais em parceria com a CNN.
Em sua busca para desmascarar as alegações de que eles estavam por trás dos hacks do PayTM, "John Wick" também havia hackeado a conta do Twitter do primeiro-ministro indiano .
Antecedentes: invasão do PayTM Mall
O Paytm Mall é uma plataforma indiana de comércio eletrônico com mais de 5,5 milhões de usuários ativos diariamente, 80.000 comerciantes e um portfólio de produtos de 110 milhões de itens, de acordo com o relatório online de 2018.
A empresa sofreu uma grande violação de dados quando um grupo de hackers conseguiu obter acesso ilimitado a todo o banco de dados da empresa. Cyble, uma plataforma americana de análise de risco cibernético, afirma que o grupo de hackers John Wick é o culpado por tudo.
De acordo com Cyble, "John Wick" invadiu várias empresas indianas e recebeu ransomware de várias entidades indianas, incluindo plataforma OTT Zee5, fintech startups, Stashfin, Sumo Payroll, Stashfin, i2ifunding usando outros pseudônimos como "South Korea" e "HCKINDIA".
Captura de tela: Cyble
"John Wick" conseguiu fazer upload de um backdoor para o site do aplicativo Paytm Mall e obteve acesso ilimitado a todos os bancos de dados e, em seguida, exigiu um resgate de 10 Ethereum (ETH), equivalente a $ 4.000, que os hackers chamaram de "taxa de ajuda".
Prepare-se, a história começa…
Em agosto, "John Wick" enviou um e-mail à BleepingComputer pedindo-lhes que refutassem um relatório divulgado pela Cyble que atribuía o hack do PayTM Mall a um grupo de hackers.
Os invasores alegaram ter hackeado o site Cyble amibreached.com para baixar seu banco de dados e instalar uma ferramenta de acesso remoto em um diretório público. No entanto, o CEO da Cyble, Binu Arora, disse que não encontrou nenhuma indicação de que eles foram hackeados ou que vestígios de programas de acesso remoto foram baixados.
Hackear outros sites para refutar um hack
Determinado a provar sua inocência no ataque ao PayTM Mall, "John Wick" primeiro invadiu a conta do Twitter do primeiro-ministro da Índia, dizendo ao mundo que eles não eram os perpetradores dos hacks do PayTM.
“Não há outra intenção de hackear esta conta. Recentemente, surgiram notícias falsas sobre nosso nome, dizendo que o PayTM Mall [foi] hackeado por nós. Então, enviamos um e-mail para todos os editores de notícias na Índia [que] não somos nós, mas ninguém nos respondeu, então decidimos publicá-lo", um dos tweets postados na conta oficial do primeiro-ministro no Twitter.
As imagens abaixo mostram que os hackers podem ter hackeado o canal de notícias indiano News18 e enviado notificações push a seus assinantes para negar que estivessem envolvidos nos hacks do PayTM.
Notificações push supostamente enviadas pelo grupo de hackers "John Wick" do site News18 Fonte: Bleeping Computer
A notificação por push diz "Paytm Mall John Wick não foi hackeado por nossa equipe".
Em um e-mail enviado ao BleepingComputer por John Wick, o grupo incluiu endereços IP internos, portas, nomes de usuários, senhas e uma solicitação JSON com um token de autenticação que eles supostamente usaram para enviar notificações do navegador aos assinantes do News18.
E-mail de John Wick para BleepingComputer mostrando a carga JSON para acionar notificações push Fonte: Bleeping Computer
Clicar nessas notificações abriu uma página no PasteBin no navegador que uma vez refutou as alegações de que o PayTM Mall havia sido invadido por invasores.
Capturas de tela adicionais fornecidas pelo próprio grupo mostram pastas para os vários feeds de idiomas do grupo News18 ..
Pastas que podem conter dados de diferentes canais de TV News18 Fonte: Bleeping Computer
Deve-se notar que a autenticidade dessas capturas de tela não foi verificada e, no momento da redação deste artigo, o News18 não comentou esse suposto hack.
Assim como no hack ZEE5, quando "John Wick" supostamente assumiu o controle da base de código da empresa, o grupo de hackers forneceu capturas de tela mostrando o histórico de confirmação de código para a base de código News18 de maneira semelhante.
Possível histórico de confirmação de código para News18 fornecido por John Wick Fonte: Bleeping Computer
Claro que, neste caso, a motivação de John Wick não era arrecadar doações. No entanto, em uma tentativa de provar sua inocência com competência, eles hackearam muitos outros sistemas e se tornaram cúmplices de outros crimes – tudo para refutar uma alegação sobre o hack do PayTM.