Індійські хакери зламали CNN і Twitter прем’єр-міністра, щоб спростувати свою причетність до іншого злому
Угруповання «Джон Вік» зламало обліковий запис прем’єр-міністра Індії в Twitter і сайт популярного індійського каналу новин News18, щоб спростувати причетність до злому PayTM.
Як повідомляє видання BleepingComputer, хакерська група стверджує, що зламала сайт новин CNN-News18 в Індії, щоб використовувати його для спростування заяв про злом PayTM Mall на початку цього тижня.
News18 – це англомовний канал новин, який надає новини Індії та місцевих новин через Індійську мережу мовлення, а також міжнародні новини у партнерстві з CNN.
У своєму прагненні спростувати твердження про те, що вони стояли за зломами PayTM, "Джон Вік" також раніше зламав акаунт прем’єр-міністра Індії у Twitter.
Передісторія: Злом PayTM Mall
Paytm Mall – це індійська платформа електронної комерції, яка згідно з онлайн-звітом за 2018 рік, має понад 5,5 мільйонів активних користувачів на день, 80 000 продавців та продуктовий портфель зі 110 мільйонів найменувань.
Компанія зазнала серйозного витоку даних, коли група хакерів змогла отримати необмежений доступ до всієї бази даних компанії. Американська платформа з аналізу кіберрисків Cyble стверджує, що у всьому винна хакерська група «Джон Вік».
За словами Cyble, "Джон Вік" зламав кілька індійських компаній і отримав викуп від різних індійських організацій, включаючи платформу OTT Zee5, фінтех-стартапи, Stashfin, Sumo Payroll, Stashfin, i2ifunding, використовуючи інші псевдоніми, такі як "South Korea" та " HCKINDIA».
Знімок екрана: Cyble
"Джон Вік" зміг завантажити бекдор на веб-сайт програми Paytm Mall і отримав необмежений доступ до всіх баз даних, а потім вимагав викуп у розмірі 10 Ethereum (ETH), що еквівалентно 4000 доларів США, які хакери назвали "платою за допомогу".
Приготуйтеся, починається історія…
У серпні "Джон Вік" написав електронною поштою в BleepingComputer з проханням спростувати звіт, опублікований Cyble, в якому групі хакерів приписувався злом PayTM Mall.
Потім зловмисники заявили, що зламали сайт Cyble amibreached.com, щоб завантажити його базу даних та встановити інструмент віддаленого доступу у відкритий каталог. Однак, генеральний директор Cyble Біну Арора сказав, що вони не змогли знайти жодних ознак того, що вони були зламані або що були завантажені сліди програм віддаленого доступу.
Зламаємо інші сайти, щоб спростувати один злом
Вирішивши довести свою невинність в атаці на PayTM Mall, «Джон Вік» спочатку зламав Twitter-акаунт прем’єр-міністра Індії, заявивши світові, що вони не були винуватцями зламів PayTM.
«Інших намірів зламувати цей обліковий запис немає. Нещодавно були фальшиві новини про наше ім’я, в яких йдеться про те, що PayTM Mall [був] нами зламаний. Тому ми розіслали електронного листа всім видавцям новин в Індії [що] це не ми, але нам ніхто не відповів, тому ми вирішили це опублікувати», – один із твітів, опублікованих в офіційному обліковому записі прем’єр міністра у Twitter.
Нижче показано, що хакери, можливо, зламали індійський новинний канал News18 і розіслали їх передплатникам push-сповіщення, щоб заперечувати свою причетність до зламів PayTM.
Push-повідомлення, нібито відправлені хакерською групою "Джон Вік" з веб-сайту News18 Джерело: Bleeping Computer
У push-повідомленні йдеться: "Торговий центр Paytm, Джон Вік, зламаний не нашою командою".
В електронному листі, надісланому в BleepingComputer Джоном Віком, група включила внутрішні IP-адреси, порти, імена користувачів, паролі та запит JSON з токеном автентифікації, який вони, ймовірно, використовували для надсилання повідомлень браузера передплатникам News18.
Електронний лист Джона Віка для BleepingComputer, що показує корисне навантаження JSON для запуску push-повідомлень Джерело: Bleeping Computer
При натисканні на ці повідомлення, у браузері відкривалася сторінка PasteBin, яка одного разу спростовувала твердження про те, що зловмисники зламали PayTM Mall.
На додаткових знімках екрана, наданих групою, показані папки різних мовних каналів групи News18 .
Папки, які можуть містити дані різних телеканалів News18 Джерело: Bleeping Computer
Слід зазначити, що справжність цих знімків екрана не підтверджена, і на момент написання News18 не дали коментарів про це передбачуваний злам.
Як і у випадку злому ZEE5, коли "Джон Вік" нібито взяв під контроль кодову базу компанії, група хакерів надала скріншоти, що показують історію фіксації коду для кодової бази News18 аналогічним чином.
Можлива історія фіксації коду News18, надана Джоном Віком Джерело: Bleeping Computer
Звісно, у разі мотивація Джона Уіка полягала над зборі пожертвувань. Проте, намагаючись довести свою невинність компетентністю, вони зламали ще багато систем і з точністю стали співучасниками інших злочинів – і все це для того, щоб спростувати одне твердження про зло PayTM.