不知名印度 IT“小作坊”7 年入侵万余邮箱

BellTroX 是谁？

位于新德里的 BellTroX 并不是一家知名企业，BellTroX 成立于 2011 年，是医院、诊所、专家证人、独立从业者和企业的转录和听写服务提供商，和飞利浦、奥林巴斯等品牌建立了合作关系。

BellTroX 的一个修饰词是 one of the World's premier（行业领军企业之一）。据称，其技术团队有多年的听写经验，在医疗、法律和商业转录领域受过专业的训练，旨在通过与客户建立长期的合作关系，提供高质量、低成本的解决方案。

但按照该公司三名前雇员和一名外部研究人员的说法以及网络上的证据，这家公司并不像简介中的那么简单——BellTroX 为用户提供黑客服务，主要瞄准了欧洲政府官员、巴哈马赌博业大亨和美国知名投资机构（比如私募股权巨头 KKR 和曾用 20 多天让一家公司退市的著名做空机构浑水 Muddy Waters）。

对此，浑水创始人 Carson Block 表示：

得知我们很可能被 BellTroX 的客户当做攻击对象，我感到失望，但并不惊讶。

另外几名知情人士向路透社透露，美国执法部门已经开始了对 BellTroX 的调查。

量产恶意邮件的小作坊

那么，这样一家“挂羊头卖狗肉”的雇佣黑客公司，究竟是如何运作的呢？

BellTroX 的办公室其实是一家商店上面的一个小房间，一封封恶意电子邮件就是从这个小作坊发出去的。

有些信息会模仿攻击对象的同事或亲戚发送，有些则是 Facebook 登录请求或者退订色情网站的提示。

在路透社的采访中，纽约做空公司 Safkhet Capital 创始人 Fahmi Quadir 表示：

启动基金后不久的 2018 年初，电子邮件数量就开始激增。一开始的邮件和星座有关，看上去不像是恶意邮件，后来慢慢就开始升级到色情了。后来，邮件质量有所提高，黑客开始模仿同事、家人或其他卖空机构。

事实上，Safkhet Capital 是 2017-2019 年 BellTroX 瞄准的 17 家投资公司之一。

同时，一些美国宣传团体也不能幸免——比如两个支持网络中立的组织“Free Press”（新闻自由）和“Fight for the Future”（为未来而战）。

对此，Fight for the Future 组织副主任 Evan Greer 表示：

当公司或政客雇佣这样的黑客组织来瞄准民间团体时，我们的民主进程也便遭到了破坏。

同时路透社报道称，此前从黑客使用的匿名在线服务提供商处获取了大量数据，这些数据是一个包含了目标群体和具体时间的“命中列表”。

路透社通过对目标群体收到的电子邮件进行审查发现，BellTroX 在 2013 年至 2020 年间发送了数万条恶意信息，旨在诱使受害者放弃密码。

据了解，路透社在“命中列表”里看到了南非法官、墨西哥政治人物、法国律师、美国环保组织。正如互联网监督组织 Citizen Lab 研究员 John Scott-Railton 所说：

雇佣黑客虽然没有由政府支持的间谍团体那么受关注，但不得不承认“网络雇佣军”的服务已经辐射到各个领域。我们的调查发现，没有任何部门可以幸免。

根据“命中列表”，在 BellTroX 瞄准的数千人中，有几十个人未回复邮件或拒绝发表评论，究竟有多少人上钩目前也难以获知。

陷入“黑暗盆地”

与此同时，就这一公司潜在的黑客行为，相关监督机构也出具了详细的报告进行佐证。

值得一提的是，作为互联网监督组织，Citizen Lab 研究人员用两年多的时间摸索、厘清了黑客组织的内幕，终于在当地时间 2020 年 6 月 9 日重磅发布了相关报告。

报告指出，“黑暗盆地”（Dark Basin）是一个雇佣黑客组织，目标是六大洲的数千名个人（如高级政客、政府检察官、企业 CEO、新闻工作者和人权维护者）和数百家机构（包括非营利组织和对冲基金等行业），Citizen Lab 也将其定位为网络钓鱼幕后组织。

“黑暗盆地”广泛针对美国的非营利组织，其中就包括从事名为 #ExxonKnew 的活动的非营利组织，该组织声称世界最大的非政府石油天然气生产商埃克森美孚隐藏了数十年的气候变化信息。

Citizen Lab 研究员 John Scott-Railton 曾表示：

这是有史以来最大的雇佣间谍活动之一。

值得一提的是，报告指出，Citizen Lab 高度相信 BellTroX 参与到了上述组织的间谍活动中。

具体来讲，Citizen Lab 确认部分 BellTroX 员工在测试网址缩写服务时使用个人文档（比如个人简历）作为诱饵内容，这与“黑暗盆地”“不谋而合”。

如下图所示，领英上该公司一员工的工作职责十分耐人寻味，主要包括了电子邮件渗透、广告推销、企业间谍、声波发射、提供网络情报等。

另外，他们还在社交媒体上发帖赞扬了攻击技术，并附上了含有“黑暗盆地”相关链接的截图。

令人生疑的还有一点， BellTroX 及其员工的相关网页有“Ethical Hacking”（道德黑客） and “Certified Ethical Hacker”（认证道德黑客）的字样，这被 Citizen Lab 视为是一种委婉的在线业务推广。

此外，当地时间 2020 年 6 月 7 日，BellTrox 网站开始提供错误信息，一些可以表明 BellTroX 与黑客行动有关的帖子和内容也已被删除。

报告也曝出了有关 BellTroX 所有者兼董事 Sumit Gupta 的重要信息。

2015 年，美国司法部因雇佣黑客计划同时控告了几名美国私人调查员和一名印度人。而这位印度人正是 Sumit Gupta。

美国司法部指出，Sumit Gupta 使用了别名 Sumit Vishnoi。虽然 Sumit Gupta 并未有因控告被捕的记录，但有人使用 Sumit Vishnoi 的名字在网上发帖提到了 BellTroX 公司。

不难看出，上述信息也在很大程度上表明了 Sumit Gupta 与黑客组织千丝万缕的关系。

实际上，获悉相关消息后，路透社也联系了 Sumit Gupta（下图），但 Sumit Gupta 拒绝透露客户信息，同时也否认存在任何不当行为：

我没有帮助客户访问任何东西，他们向我提供了详细信息后，我只是帮他们下载邮件。我并不知道一些细节是从何获取的，但我只是在为客户提供技术支持罢了。

不过，Citizen Lab 的报告显示，BellTrox 及其员工的领英页面有数百个企业情报人员和各领域私人调查员的背书（领英有一个 endorsement 功能，类似于对企业、个人技能和专业知识的认可），其中就包括：

• 一位加拿大政府官员；
• 一位美国联邦贸易委员会调查员（前美国海关和边境巡逻队合同制调查员）；
• 众多美国各州和地方现任执法官员；
• 众多私人侦探（许多曾在联邦调查局、警察局、军队及其他政府部门任职）。

无疑，上述为该公司及其员工背书的群体并不一定就和 BellTrox 签订了某种合同，但来自美国知名侦探机构 Bulldog Investigations 的 Bart Santos 向路透社表示，此前印度的黑客服务广告不请自来，其中就有一则广告是自称 BellTroX 前雇员的人发的，主动提出了“数据渗透”和“电子邮件渗透”服务。

实际上，众多侦探、调查员和一家鲜为人知的 IT 公司有较为密切的关系，也侧面反映出 BellTroX 绝不只是一家“全球领先的转录服务提供商”。