安全研究人员揭露印度关联黑客团伙针对中东及北非地区记者与官员的网络攻击行动
安全研究人员发现一个名为BITTER的黑客团伙,通过钓鱼攻击窃取目标的iCloud备份和Signal消息账户,并在安卓设备上部署ProSpy间谍软件。该团伙主要针对中东和北非地区的记者、活动人士及政府官员,攻击范围扩展至巴林、阿联酋、沙特、英国及美国。
调查机构Access Now、SMEX与移动网络安全公司Lookout联合发布报告,指出该团伙或与印度公司RebSec Solutions有关,后者可能源自已关闭的Appin公司。2022至2023年,路透社曾深入调查Appin等印度本土黑客公司,揭露其为政府机构提供针对政商及军方人员的黑客服务。
研究人员发现,攻击者通过伪装成Signal、WhatsApp、Zoom、ToTok和Botim等流行应用,诱导安卓用户安装ProSpy间谍软件。针对iPhone用户,黑客则通过钓鱼手段获取Apple ID,进而访问iCloud备份,实现对设备内容的全面控制。Access Now称,此方法是比昂贵iOS间谍软件更经济的替代方案。
Lookout指出,该黑客团伙的攻击对象包括埃及和黎巴嫩的民间社会成员,以及巴林、埃及政府官员,还涉及阿联酋、沙特、英国和美国或美国高校校友。该团伙的运营模式为政府客户提供“可否认性”,且成本低于购买商业间谍软件。
RebSec Solutions未回应置评请求,其社交媒体账户和官网已被删除。印度驻华盛顿使馆亦暂未回复相关问询。
编辑点评
此次揭露的BITTER黑客团伙活动揭示了全球网络监控格局中日益普遍的‘黑客外包’现象。政府或情报机构通过雇佣私人公司实施网络攻击,既规避了直接责任,又降低了技术与资金门槛。这种模式在中东、北非等政治敏感地区尤为活跃,对记者、活动人士及政府官员构成系统性威胁,严重侵蚀数字人权与新闻自由。
从技术角度看,攻击手段虽非最先进,但结合社会工程学(如钓鱼攻击)与伪装应用,具备高成功率和隐蔽性。尤其值得注意的是,攻击范围已延伸至英国和美国,显示其客户可能涉及多国政府或机构,潜在影响超出国界。
印度关联公司如RebSec和Appin的持续存在,反映出南亚地区在网络安全产业链中的新兴角色。尽管Appin已关闭,但其业务转移至更小型公司,表明此类灰色产业具备强大韧性。国际社会需加强跨国协作,推动对‘黑客外包’服务的监管与追责机制,同时提升目标群体的数字安全防护能力。