Modified elephant Hacker's technique to plant fake evidence in victims' computers

الفيل المعدل.. تقنية القراصنة لزراعة أدلة مزيفة في حواسيب الضحايا  تُظهر دراسة حديثة تكتيكات وتقنيات مجموعة من جرائم الإنترنت التي تقوم على زرع أدلة إدانة في أجهزة النشطاء، سواء لابتزازهم أو إسكاتهم، وقد تناولت هذه الدراسة الهند بحسب تقرير لموقع غزمودو (gizmodo).  وكشف تقرير نشر هذا الأسبوع من قبل شركة الأمن السيبراني "سينتنال ون" (Sentinel One) عن تفاصيل إضافية حول المجموعة، مما يكشف الطريقة التي تم بها استخدام حيلها الرقمية لمراقبة واستهداف "النشطاء الحقوقيين والمدافعين عن حقوق الإنسان والأكاديميين والمحامين" في جميع أنحاء الهند.   ويذكر التقرير أنه على مدى عقد من الزمان على الأقل، كانت مجموعة قراصنة غامضة تستهدف الأشخاص في جميع أنحاء الهند، وتستخدم أحيانا قوتها الرقمية لزرع أدلة ملفقة عن نشاط إجرامي على أجهزة ضحاياها، وغالبًا ما استخدمت تلك الأدلة المزيفة ذريعة لاعتقال الضحايا.  المجموعة التي أطلق عليها الباحثون اسم "الفيل المعدل" (ModifiedElephant)، مرتبطة إلى حد كبير بالتجسس، لكنها في بعض الأحيان تتدخل لتحديد أهدافها على ما يبدو لتلفيق تهم لهم تدينهم في ارتكاب جرائم معينة.   ويقول الباحثون إن هدف مجموعة الفيل المعدل هو المراقبة الطويلة المدى والتي تنتهي في بعض الأحيان بترك "الأدلة" -الملفات التي تدين الهدف في جرائم محددة- على حواسيبهم، قبل قيام السلطات بالاعتقالات المنسقة.  وتتركز أبرز قضية تتعلق بمجموعة القرصنة هذه حول الناشطة الماوية رونا ويلسون ومجموعة من رفاقها الذين اعتقلتهم أجهزة الأمن الهندية عام 2018 بتهمة التآمر للإطاحة بالحكومة.  وتم العثور على أدلة على المؤامرة المفترضة، بما في ذلك وثيقة توضح بالتفصيل خططا لاغتيال رئيس وزراء البلاد ناريندرا مودي، على حاسوب بويلسون المحمول.  A man takes part in a hacking contest during the Def Con hacker convention in Las Vegas, Nevada, U.S. on July 29, 2017. REUTERS/Steve Marcusمجموعة الفيل تستخدم أدوات القرصنة وتقنياتها الشائعة للحصول على موطئ قدم في حواسيب الضحايا (رويترز) هذه القضية التي اكتسبت انتشارا أكبر بعد أن غطتها صحيفة واشنطن بوست (The Washington Post)، خصوصا بعد أن تم تحليل الحاسوب المحمول المذكور أعلاه من قبل شركة الطبّ الشرعي الرقمي "أرسنال كونسلتنغ" (Arsenal Consulting) ومقرها بوسطن.   وخلصت أرسنال في النهاية إلى أن ويلسون وجميع المتآمرين المزعومين، بالإضافة إلى العديد من النشطاء الآخرين، قد تم استهدافهم بالتلاعب الرقمي.  وفي تقريرها الخاص، أوضحت الشركة مدى انتشار التسلل، وربطت "المهاجم نفسه ببنية تحتية لبرامج ضارة مهمة تم نشرها على مدى ما يقرب من 4 سنوات، ليس فقط لمهاجمة حاسوب السيدة ويلسون وتعريضه للخطر لمدة 22 شهرا، ولكن لمهاجمة المتهمين الآخرين في قضية بيما كوريجاون، والمتهمين في قضايا هندية أخرى رفيعة المستوى أيضا".  كيف وضع المتسللون المستندات في حاسوب الضحية؟ وفقًا لتقرير سينتنال ون، تستخدم مجموعة الفيل أدوات وتقنيات القرصنة الشائعة للحصول على موطئ قدم في حواسيب الضحايا.  ويتم تحميل رسائل التصيد الاحتيالي الإلكترونية المصممة عادة بحسب اهتمامات الضحية، بمستندات ضارة تحتوي على أدوات وصول عن بعد متاحة تجاريا تسمى "رات" (RAT)، وهي برامج سهلة الاستخدام متاحة على شبكة الإنترنت المظلمة يمكنها اختراق أجهزة الحاسوب.   وثبت أن الفيل المعدل يستخدم برامج "دارك كوميت" (DarkComet) و"نيتواير" (Netwire)، وهما علامتان تجاريتان مشهورتان.  وبمجرد أن يتم خداع الضحية بنجاح وتنزيل البرامج الضارة للمتسللين على حواسيب الضحايا، تسمح برمجية رات للفيل بالتحكم الشامل في جهاز الضحية؛ حيث إن بإمكانهم إجراء المراقبة بهدوء أو -كما في حالة ويلسون- نشر مستندات مزيفة تدينهم.  وكما هي الحال مع أي شيء في عالم المخترقين، من الصعب أن تعرف بشكل قاطع هوية القراصنة خلف "الفيل المعدل". ومع ذلك، تشير الأدلة السياقية الواضحة إلى أن المجموعة تضع "مصالح" الحكومة الهندية في الاعتبار.  وكتب الباحثون: "نلاحظ أن نشاط الفيل المعدل يتوافق بشكل كبير مع مصالح الدولة الهندية، وأن هناك علاقة ملحوظة بين هجمات الفيل المعدل واعتقالات الأفراد في القضايا المثيرة للجدل وذات الصبغة السياسية".      Modified elephant Hacker's technique to plant fake evidence in victims' computers  A recent study shows the tactics and techniques of a group of cybercrimes that are based on implanting incriminating evidence in activists' devices, whether to blackmail or silence them. This study examined India, according to a report by gizmodo website.  A report published this week by cybersecurity firm Sentinel One revealed additional details about the group, exposing the way its digital ploys have been used to monitor and target "rights activists, human rights defenders, academics and lawyers" across India.  The report states that for at least a decade, a shadowy hacker group has been targeting people across India, sometimes using its digital power to plant fabricated evidence of criminal activity on the devices of its victims, often using that fake evidence as a pretext to arrest victims.  Dubbed the ModifiedElephant, the group is largely linked to espionage, but sometimes steps in to identify its targets, apparently to frame them for crimes.  The researchers say the modified elephant group's goal is long-term surveillance that sometimes ends up leaving "evidence" - files incriminating the target for specific crimes - on their computers, before authorities make coordinated arrests.  The most prominent case related to this hacking group centers around the Maoist activist Rona Wilson and a group of her companions who were arrested by Indian security services in 2018 on charges of plotting to overthrow the government.  Evidence of the alleged plot, including a document detailing plans to assassinate the country's Prime Minister Narendra Modi, was found on Paulson's laptop.  This case, which gained greater publicity after it was covered by The Washington Post, especially after the above-mentioned laptop computer was analyzed by the Boston-based digital forensics firm Arsenal Consulting.  Arsenal eventually concluded that Wilson and all the alleged conspirators, as well as several other activists, had been targeted for digital manipulation.  In its special report, the company outlined the extent of the intrusion, linking “the attacker himself to a critical malware infrastructure deployed over a period of nearly 4 years, not only to attacking and endangering Ms. Wilson’s computer for 22 months, but to attacking the other defendants in the Pema Koregaon case, And the accused in other high-profile Indian cases as well."  How did the hackers put the documents in the victim's computer? According to the Centennial One report, the Elephant Group uses common hacking tools and techniques to gain a foothold in the victims' computers.  Typically tailored to the victim's interests, phishing emails are loaded with malicious documents containing commercially available remote access tools called RAT, which are easy-to-use programs available on the dark web that can infect computers.  The modified elephant was proven to use DarkComet and Netwire, two popular brands.  Once the victim has been successfully deceived and the hackers' malware is downloaded onto the victims' computers, RAAT allows the elephant to gain full control over the victim's machine; They can quietly conduct surveillance or, as in Wilson's case, publish false incriminating documents.  As with anything in the hacker world, it's hard to know for sure who the hacker behind the "modified elephant" is. However, clear contextual evidence suggests that the group does take the "interests" of the Indian government into account.  "We note that modified elephant activity is highly consistent with the interests of the Indian state, and that there is a significant relationship between modified elephant attacks and arrests of individuals in controversial and political issues," the researchers wrote.

Modified elephant Hacker's technique to plant fake evidence in victims' computers


A recent study shows the tactics and techniques of a group of cybercrimes that are based on implanting incriminating evidence in activists' devices, whether to blackmail or silence them. This study examined India, according to a report by gizmodo website.

A report published this week by cybersecurity firm Sentinel One revealed additional details about the group, exposing the way its digital ploys have been used to monitor and target "rights activists, human rights defenders, academics and lawyers" across India.

The report states that for at least a decade, a shadowy hacker group has been targeting people across India, sometimes using its digital power to plant fabricated evidence of criminal activity on the devices of its victims, often using that fake evidence as a pretext to arrest victims.

Dubbed the ModifiedElephant, the group is largely linked to espionage, but sometimes steps in to identify its targets, apparently to frame them for crimes.

The researchers say the modified elephant group's goal is long-term surveillance that sometimes ends up leaving "evidence" - files incriminating the target for specific crimes - on their computers, before authorities make coordinated arrests.

The most prominent case related to this hacking group centers around the Maoist activist Rona Wilson and a group of her companions who were arrested by Indian security services in 2018 on charges of plotting to overthrow the government.

Evidence of the alleged plot, including a document detailing plans to assassinate the country's Prime Minister Narendra Modi, was found on Paulson's laptop.

This case, which gained greater publicity after it was covered by The Washington Post, especially after the above-mentioned laptop computer was analyzed by the Boston-based digital forensics firm Arsenal Consulting.

Arsenal eventually concluded that Wilson and all the alleged conspirators, as well as several other activists, had been targeted for digital manipulation.

In its special report, the company outlined the extent of the intrusion, linking “the attacker himself to a critical malware infrastructure deployed over a period of nearly 4 years, not only to attacking and endangering Ms. Wilson’s computer for 22 months, but to attacking the other defendants in the Pema Koregaon case, And the accused in other high-profile Indian cases as well."

How did the hackers put the documents in the victim's computer?
According to the Centennial One report, the Elephant Group uses common hacking tools and techniques to gain a foothold in the victims' computers.

Typically tailored to the victim's interests, phishing emails are loaded with malicious documents containing commercially available remote access tools called RAT, which are easy-to-use programs available on the dark web that can infect computers.

The modified elephant was proven to use DarkComet and Netwire, two popular brands.

Once the victim has been successfully deceived and the hackers' malware is downloaded onto the victims' computers, RAAT allows the elephant to gain full control over the victim's machine; They can quietly conduct surveillance or, as in Wilson's case, publish false incriminating documents.

As with anything in the hacker world, it's hard to know for sure who the hacker behind the "modified elephant" is. However, clear contextual evidence suggests that the group does take the "interests" of the Indian government into account.

"We note that modified elephant activity is highly consistent with the interests of the Indian state, and that there is a significant relationship between modified elephant attacks and arrests of individuals in controversial and political issues," the researchers wrote.
Previous Post Next Post