黑暗盆地揭开了一起雇佣黑客行动的面纱

本报告之后将有更多即将提交的报告，对某些目标和技术指标进行更全面的概述。

黑暗盆地是一个雇佣黑客的组织，目标是六大洲数以千计的个人和数百家机构。目标包括倡导团体和记者、民选和高级政府官员、对冲基金和多个行业。

黑暗盆地广泛针对美国非营利组织，包括开展名为#exxonnow的活动的组织，该活动断言埃克森美孚隐瞒有关气候变化的信息长达数十年。

我们还确认黑暗盆地是电子前沿基金会(Electronic Frontier Foundation)之前报告的对致力于网络中立倡导的组织进行网络钓鱼的幕后黑手。

我们满怀信心地将“黑暗盆地”与一家印度公司Belltrox InfoTech Services和相关实体联系起来。

公民实验室已经通知了数百名目标个人和机构，并在可能的情况下为他们提供了跟踪和识别活动的协助。应几个目标的要求，公民实验室与美国司法部(DoJ)分享了他们成为目标的信息。我们正在通知其他目标。

我们将“黑暗盆地”这个名字命名为一个雇佣黑客组织，该组织的目标是六大洲数以千计的个人和组织，包括高级政客、政府检察官、首席执行官、记者和人权捍卫者。我们满怀信心地将“黑暗盆地”与总部设在印度的科技公司BellTroX InfoTech Services(“BellTroX”)联系起来。

在我们多年的调查过程中，我们发现黑暗盆地很可能代表他们的客户对涉及高调公共活动、刑事案件、金融交易、新闻报道和宣传的对手进行商业间谍活动。此报告突出显示了几个目标群集。在未来的报告中，我们将提供关于特定目标集群和黑暗盆地活动的更多细节。

2017年，一名记者联系了公民实验室，这名记者曾成为钓鱼企图的目标，并询问我们是否可以进行调查。我们将网络钓鱼尝试链接到一个自定义的URL缩短程序，操作员用它来伪装网络钓鱼链接。

我们随后发现，这个缩短器是一个更大的自定义URL缩短器网络的一部分，该网络由一个我们称为“黑暗盆地”的组织运营。因为缩写器创建的URL具有连续的短码，所以我们能够枚举它们并识别几乎28,000个包含目标电子邮件地址的额外URL。我们使用开源情报技术来识别数百个目标个人和组织。后来，我们联系了他们中的相当一部分人，组装了一幅黑暗盆地目标的全球图景。

我们的调查产生了几个令人感兴趣的集群，我们将在本报告中描述，其中包括美国两个致力于气候变化和网络中立的倡导组织集群。

虽然我们最初认为黑暗盆地可能是由国家支持的，但目标的范围很快就清楚地表明，黑暗盆地很可能是一次雇佣黑客的行动。黑暗盆地的目标往往只在有争议的法律程序、宣传问题或商业交易中的一方。

我们高度自信地将黑暗盆地的活动与在一家名为BellTroX InfoTech Services(也称为“BellTroX D|G|TAL Security”，可能还有其他名称)的印度公司工作的个人联系起来。2015年，BellTroX的董事苏米特·古普塔(Sumit Gupta)在加州因参与类似的黑客雇佣计划而被起诉。

数百封黑暗盆地钓鱼电子邮件中的时间戳与印度UTC+5：30时区的工作时间一致。电子前沿基金会(EFF)在之前对针对网络中立倡导团体的钓鱼信息进行的调查中也发现了同样的时间相关性，我们也将其与黑暗盆地联系起来。

黑暗盆地的几个URL缩短服务都有与印度相关的名称：Holi、Rongali和Pochanchi(表1)。胡里节是著名的印度教节日，也被称为“颜色节”，荣加利是比湖的三个阿萨姆语节日之一，波昌奇很可能是孟加拉语“55”的音译。

此外，黑暗盆地留下了他们的钓鱼工具包源代码的副本，可以在网上公开获得，以及显示测试活动的日志文件。网络钓鱼工具包调用的日志代码记录了UTC+5：30中的时间戳，日志文件显示黑暗盆地似乎使用印度的IP地址进行了一些测试。

与我们在NortonLifeLock的合作者一起，我们发现了本报告中描述的活动与与Belltrox相关的个人之间的大量技术联系。这些联系使我们高度自信地得出结论，黑暗盆地与BellTrox有关。

我们能够识别出BellTroX的几名员工，他们的活动与黑暗盆地重叠，因为他们在测试URL缩写程序时使用了包括简历在内的个人文档作为诱饵内容。他们还在社交媒体上发帖描述攻击技术，并将其归功于包含与黑暗盆地基础设施链接的屏幕截图。BellTroX及其员工似乎使用委婉的说法在网上推广他们的服务，包括“道德黑客”和“认证的道德黑客”。Belltrox的口号是：“您想要，我们就想！”

在2020年6月7日星期日，我们观察到BellTroX网站开始提供错误消息。我们还注意到，将BellTroX与这些行动联系起来的帖子和其他材料最近已被删除。

关于Belltrox和黑暗盆地之间进一步联系的技术证据详见附录A。折衷指标见附录B。

此外，2015年，美国司法部起诉了几名美国私家侦探和印度国民Sumit Gupta(司法部指出，他也使用化名Sumit Vishnoi)，因为他们在黑客雇佣计划中扮演了角色。据我们所知，古普塔从未因与起诉书有关而被捕。一家印度公司注册数据的聚合器将Sumit Gupta列为Belltrox的董事，而“Sumit Vishnoi”在网上发布的帖子中也提到了BelltroX。起诉书中描述的行动，包括与私家侦探的广泛关系，与我们归因于Belltrox的行动相似。

我们观察了黑暗盆地几年来的活动，包括社交媒体活动和在BellTroX工作的个人帖子。LinkedIn上列出的一些为BelltroX工作的个人提到了一些表明黑客能力的活动。

BellTroX的LinkedIn页面，以及他们员工的页面，已经收到了数百名从事企业情报和私人调查各个领域的个人的支持。

美国联邦贸易委员会的调查员，以前是美国海关和边境巡逻队的合同调查员。

私家侦探，其中许多人以前在联邦调查局、警察、军队和其他政府部门担任过职务。

LinkedIn的代言可能是完全无害的，并不能证明个人与BellTroX签订了黑客或其他活动的合同。然而，这确实引发了一些代言人与BelltroX之间关系性质的问题。

尽管司法部之前起诉了BellTroX董事，以及在其他黑客雇佣案件中也提出了起诉，但提供这些服务的公司公开宣传他们的活动。这表明，公司及其客户并不指望面临法律后果，使用雇佣黑客的公司可能是私人调查行业的标准做法。虽然LinkedIn的背书并不能证明个人与BellTroX签订了黑客或其他活动的合同，但它确实引发了一些问题，即那些发布背书的人与BelltroX之间的关系的性质，包括这些私人侦探(PI)与一家鲜为人知的印度公司有什么业务。

黑暗盆地拥有一系列引人注目的目标，从多个国家的高级政府官员和候选人，到对冲基金和银行等金融服务公司，再到制药公司。令人不安的是，黑暗盆地广泛针对致力于国内和全球问题的美国倡导组织。这些目标包括气候倡导组织和网络中立活动家。

我们发现了一大群在美国从事环境问题的目标个人和组织。2017年秋天，公民实验室与这些团体进行了接触，并开始与他们合作，以确定目标的性质和范围。我们确定这些组织都与#埃克森知道运动有关，该运动突出了一些文件，这些倡导组织争辩说，这些文件指向了埃克森美孚几十年来对气候变化的了解。根据“纽约时报”的报道，#exxonnow活动导致“该公司对气候变化的研究被曝光，包括它在淡化威胁的同时，将气候预测纳入其勘探计划所采取的行动。”“纽约时报”描述了埃克森美孚(ExxonMobil)、多个州的总检察长和参与#埃克森美孚(#exxonnow)运动的组织之间激烈的法律斗争。

我们向目标提供搜索查询以查找黑暗盆地电子邮件，并指导他们如何使用这些查询从其收件箱中收集电子邮件。虽然此方法不能生成所有黑暗盆地网络钓鱼尝试的全面集合，但它提供了追溯数据，帮助我们将网络钓鱼电子邮件的时间与#exxonnow活动中的关键事件关联起来。我们在目标组织的协助下确定了这些关键事件，并列出了埃克森美孚发布的时间表。我们注意到，围绕某些关键事件，目标增加了，如下所示。

2016年1月，一群环保组织和资助者私下会面，讨论#埃克森美孚知道活动。一封邀请活动家参加1月份会议的私人电子邮件(“1月份电子邮件”)随后被不明身份的各方泄露给两家报纸。2016年4月13日，“华尔街日报”(Wall Street Journal)刊登了一篇题为“埃克森美孚回击气候变化调查”的报道，引用了1月份的电子邮件，一天后，“自由灯塔”(Free Beacon)刊登了1月份电子邮件的打印照片。

在2016年3月，一名记者询问与会者有关秘密会议的情况后，我们没有发现进一步的钓鱼电子邮件，直到2017年6月纽约州总检察长提交了一份文件，声称有证据表明“埃克森美孚的声明可能存在重大虚假和误导性”。在纽约州总检察长于2018年1月对埃克森美孚(ExxonMobil)提起诉讼前不久，目标也再次飙升。

2016年1月电子邮件的泄露，以及活动人士注意到的可疑电子邮件，导致出席会议的一些人怀疑他们的私人通信可能已经被泄露。我们后来确定，除了两个人之外，所有1月份泄露的电子邮件收件人也都是黑暗盆地的目标。

我们还注意到，媒体上还出现了多个与这些竞选问题公开相关的个人的内部文件。

黑暗盆地向目标的个人和机构电子邮件账户发送钓鱼电子邮件。他们的目标是参与#exxonnow运动的个人，以及#exxonnows活动家的家人。在至少一个案例中，目标的未成年孩子也在网络钓鱼的目标之列。我们认为，这种“偏离中心”的目标进一步表明了目标的知情性质，也表明了情报收集的目标。

许多针对这些人的网络钓鱼都提到了塔吉特公司在埃克森美孚和气候变化方面的工作。值得注意的是，多条钓鱼信息似乎引用了有关埃克森美孚的未指明机密文件。这些信息中有一些冒充了参与#埃克森美孚宣传活动的个人或参与针对埃克森美孚的诉讼的个人，如法律顾问。

在其他情况下，黑暗盆地发送了关于埃克森美孚的假谷歌新闻更新，这显然是目标感兴趣的话题。

其他诡计包括虚假的推特、直接消息和其他声称关注气候变化倡导的通信。黑暗盆地还定期使用更通用的网络钓鱼电子邮件，使用相同的基础设施。我们观察到黑暗盆地针对其他集群中的目标，如有针对性的对冲基金，进行了类似的特定主题和一般尝试的混合。黑暗盆地还定期在他们的信息中使用第三方链接跟踪服务。

在至少一起案件中，黑暗盆地改变了被盗内部电子邮件的用途，以重新瞄准其他个人。这一事件使我们得出结论，黑暗盆地在获得一个或多个倡导团体的电子邮件账户方面取得了一些成功。

黑暗盆地的目标显示了他们对目标及其关系的高度详细和准确的理解。钓鱼电子邮件不仅来自伪装成目标同事和朋友的账户，而且黑暗盆地选择的目标个人表明，它对非正式的组织层级有深刻的了解(例如，伪装成比目标更有权威的个人)。其中一些知识可能很难仅从开源调查中获得。结合定期为#exxonnow活动量身定做的诱饵内容，我们得出的结论是，黑暗盆地运营商可能不仅得到了详细的说明，说明了目标是谁，而且特定目标可能会响应哪些类型的消息。

虽然我们的研究高度自信地得出结论认为，黑暗盆地对传播这些网络钓鱼企图负有责任，但我们没有强有力的证据表明委托方，目前我们也不能最终将黑暗盆地针对这些组织的网络钓鱼行动归因于某个特定的黑暗盆地客户。也就是说，广泛针对行使第一修正案权利的美国非营利组织是格外令人不安的。

至少有两个美国倡导团体成为黑暗盆地的目标，在这段时间里，他们一直在进行倡导，要求联邦通信委员会(FCC)在美国保留网络中立规则。EFF在2017年发布了一份关于这一目标的报告，指出美国非政府组织争取未来和新闻自由在2017年7月7日至8月8日期间成为目标。我们还观察到针对更多的美国民间社会团体，这将在今后的报告中讨论。

除了针对公民社会，我们发现来自美国多家主要媒体的记者也受到了攻击。目标包括调查与上述倡导组织相关话题的记者，以及多名商业记者。

黑暗盆地的目标是广泛的，涉及多个行业。在公民实验室收集的目标样本中，我们发现金融领域是最有针对性的。以下部分简要概述了几个特别感兴趣的行业垂直市场。

针对金融业的最突出的目标涉及一群对冲基金、卖空者、记者和调查人员，他们在德国支付处理器Wirecard AG从事与市场操纵相关的主题工作。我们注意到，2020年6月5日星期五，德国警方搜查了Wirecard AG的办公室，这与慕尼黑检察官对某些执行董事会成员发起的刑事调查有关。

在与围绕Wirecard AG案件的目标组织和个人进行了广泛的工作后，我们得出结论，这一目标背后的统一主线是针对在目标形成期间在Wirecard AG持有空头头寸的个人，以及报道Wirecard AG案件的财经记者。几个月来，一些人几乎每天都成为攻击目标，几年来他们继续收到信息。

来自多名记者、卖空者和对冲基金的私人电子邮件被公开，作为“泄密”网站和活动的一部分，其中包括一份通过在线帖子向各个论坛分发的PDF。这场运动的名字来自Zatarra，当时是一家由几个目标运营的公司。如表5所示，该文件大量摘录了记者与其消息来源之间的通信。目标表示，这些电子邮件在发布到网站之前，存在误导性的呈现和编辑。我们认为，虽然这些文件可能是基于黑暗盆地通过网络钓鱼获得的电子邮件，但考虑到这些文件的写作、调查术语的使用和详细的组织结构图等技术的复杂程度，第二个实体可能承担了在网站上汇编和展示这些文件的工作。

与针对参与#exxonnow宣传运动的组织一样，我们目前不能最终将这一运动归因于某个具体的赞助商。