Um estudo recente mostra as táticas e técnicas de um grupo de crimes cibernéticos que é conhecido por plantar evidências incriminatórias nos dispositivos de ativistas na Índia.
Por pelo menos uma década, um grupo de hackers obscuro tem como alvo pessoas em toda a Índia, às vezes usando seus poderes digitais para plantar evidências fabricadas de atividade criminosa em seus dispositivos. Essa falsa evidência, por sua vez, muitas vezes forneceu um pretexto para a prisão das vítimas.
Um relatório publicado esta semana pela empresa de segurança cibernética Sentinel One revela detalhes adicionais sobre o grupo, esclarecendo a maneira como seus truques digitais têm sido usados para vigiar e atingir “ativistas de direitos humanos, defensores de direitos humanos, acadêmicos e advogados” em toda a Índia.
O grupo, que os pesquisadores apelidaram de “ModifiedElephant”, está amplamente preocupado com a espionagem, mas às vezes intervém para aparentemente enquadrar seus alvos de crimes. Os pesquisadores escrevem: O objetivo do ModifiedElephant é a vigilância de longo prazo que às vezes termina com a entrega de ‘provas’—arquivos que incriminam o alvo em crimes específicos—antes de prisões convenientemente coordenadas.
O caso mais proeminente envolvendo Elephant gira em torno da ativista maoísta Rona Wilson e um grupo de seus associados que, em 2018, foram presos pelos serviços de segurança da Índia e acusados de conspirar para derrubar o governo. Evidência para a suposta conspiração – incluindo um documento do Word detalhando os planos para assassinar o primeiro-ministro do país, Narendra Modi – foi encontrada em O laptop de Wilson. No entanto, uma análise forense posterior do dispositivo mostrou que os documentos eram realmente falsos e foram plantados usando malware. De acordo com os pesquisadores do Sentinel, foi o Elefante que os colocou lá.
Este caso, que ganhou maior exposição depois de ser coberto pelo Washington Post, foi aberto depois que o laptop mencionado foi analisado por uma empresa forense digital, a Arsenal Consulting . O Arsenal finalmente concluiu que Wilson e todos os seus chamados co-conspiradores, assim como muitos outros ativistas, foram alvo de manipulação digital. Em um relatório, a empresa explicou a extensão da invasão: O Arsenal conectou o mesmo invasor a uma infraestrutura de malware significativa que foi implantada ao longo de aproximadamente quatro anos para não apenas atacar e comprometer o computador do Sr. Wilson por 22 meses, mas também para atacar seus co-réus no caso Bhima Koregaon e réus em outros casos indianos de alto perfil também.
Como os hackers conseguiram os documentos no computador em primeiro lugar?
do Sentinel One relatório , o Elephant usa ferramentas e técnicas comuns de hackers para se firmar nos computadores das vítimas. E-mails de phishing, normalmente adaptados aos interesses da vítima, são carregados com documentos maliciosos que contêm ferramentas de acesso remoto (RATs) disponíveis comercialmente – programas fáceis de usar disponíveis na dark web que podem sequestrar computadores. Especificamente, o Elephant demonstrou usar DarkComet e Netwire, duas marcas bem conhecidas. Uma vez que uma vítima é phishing com sucesso e o malware dos hackers é baixado, o RAT permite ao Elephant controle abrangente sobre o dispositivo da vítima; eles podem conduzir discretamente a vigilância ou, como no caso de Wilson, distribuir documentos falsos e incriminatórios, escrevem os pesquisadores.
É tudo muito nefasto. Como com qualquer coisa no mundo hacker, é difícil saber definitivamente quem é o “Elefante”. No entanto, evidências contextuais óbvias sugerem que o grupo tem em mente os “interesses” do governo indiano, escrevem os pesquisadores: Observamos que a atividade do ModifiedElephant se alinha nitidamente com os interesses do estado indiano e que existe uma correlação observável entre os ataques do ModifiedElephant e as prisões de indivíduos em casos controversos e politicamente carregados.
Infelizmente, ModifiedElephant não é o único grupo que tem feito esse tipo de coisa. Acredita-se que um grupo totalmente diferente tenha conduzido operações semelhantes contra Baris Pehlivan, um jornalista na Turquia que ficou preso por 19 meses em 2016 depois que o governo turco o acusou de terrorismo. A perícia digital revelou mais tarde que os documentos usados para justificar as acusações de Pehlivan haviam sido plantados, assim como os do laptop de Wilson.
Em suma, é uma coisa bastante perturbadora. “Muitas perguntas sobre esse ator de ameaças e suas operações permanecem”, escrevem os pesquisadores do Sentinel One, sobre o Elephant. “No entanto, uma coisa é clara: os críticos de governos autoritários em todo o mundo devem entender cuidadosamente as capacidades técnicas daqueles que procuram silenciá-los.”