印度警方被發現跟陷害印度活動家的黑客行動有關

一年多以前，法醫分析家透露，身份不明的黑客在2018年在印度浦那被捕的至少兩名活動人士的電腦上捏造了證據，這兩人在監獄中飽受煎熬，他們跟其他13人一起面臨恐怖主義指控。此后，安全公司SentinelOne及非營利組織Citiaen Lab和Amnesty International的研究人員將這一證據捏造跟更廣泛的黑客行動聯系起來。據悉，該行動在近十年內針對數百人，其利用釣魚郵件使目標計算機感染間諜軟件并利用以色列黑客承包商NSO集團出售的智能手機黑客工具。但直到現在，SentinelOne的研究人員才發現黑客跟一個政府實體之間的聯系：不是別人，正是印度浦那市的警察機構，他們根據捏造的證據逮捕了多名活動家。

SentinelOne安全研究員Juan Andres Guerrero-Saade指出：“逮捕這些人的人和栽贓的人之間存在著可以證明的聯系。這已經超越了道德上的妥協。它超越了無情。因此，我們正試圖把盡可能多的數據提出來，希望能幫助這些受害者。”

SentinelOne的新發現將浦那市警方跟長期的黑客活動聯系在一起，該公司稱之為Modified Elephant，其中心是該活動的兩個特定目標：Rona Wilson和Varvara Rao。這兩個人都是活動家和人權捍衛者，他們在2018年作為一個名為Bhima Koregaon 16的團體的一部分入獄，該團體以當年早些時候印度教徒和達利特人（曾被稱為“賤民”的群體）之間爆發暴力事件的村莊命名。(這16名被告之一，84歲的耶穌會牧師Stan Swamy去年因感染COVID-19而死于獄中。81歲的Rao因健康狀況不佳已被醫療保釋，然而保釋期將在下月到期。其他14人中，只有一人獲準保釋）。

去年年初，代表被告工作的數字取證公司Arsenal Consulting分析了Wilson的筆記本電腦的內容及另一名被告、人權律師Surendra Gadling的筆記本電腦。Arsenal的分析師發現，這兩臺機器上的證據顯然都是偽造的。在Wilson的案件中，一個被稱為NetWire的惡意軟件在電腦硬盤的一個文件夾中添加了32個文件，其中包括一封Wilson似乎跟一個被禁止的毛派組織合謀暗殺印度總理莫迪的信。事實上，這封信是用Wilson從未使用過的微軟Word版本制作的，甚至從來沒有在他的電腦上安裝過。此外，Arsenal還發現，Wilson的電腦在打開Varvara Rao的電子郵件賬號發來的附件后被黑客安裝了NetWire惡意軟件，而該賬號本身已被同一黑客入侵。Arsenal主席Mark Spencer在提交給印度法院的報告中寫道：“這是Arsenal所遇到過的最嚴重的涉及證據篡改的案件之一。”

今年2月，SentinelOne發表了一份關于Modified Elephant的詳細報告，其分析了黑客活動中使用的惡意軟件和服務器基礎設施以說明Arsenal分析的兩起證據捏造案件是一個更大模式的一部分。早在2012年，黑客就曾以數百名活動家、記者、學者和律師為目標，其使用網絡釣魚郵件和惡意軟件。但在那份報告中，SentinelOne沒有指明“大象”黑客背后的任何個人或組織，而只是寫道--“這些活動跟印度國家利益高度一致”。

現在，研究人員已經進一步確定了該組織的隸屬關系。CentinelOne通過跟某家電子郵件供應商的安全分析師合作了解到，在2018年和2019年被黑客入侵的受害者電子郵件賬號中，有三個賬號添加了一個恢復電子郵件地址和電話號碼作為備份機制。這些賬號屬于Wilson、Rao和德里大學一位名叫Hany Babu的活動家和教授，增加一個新的恢復電子郵件和電話號碼似乎是為了讓黑客在賬號密碼被更改的情況下輕松重新獲得對賬號的控制。令研究人員驚訝的是，所有三個賬號上的那封恢復郵件都包括浦那一名跟Bhima Koregaon 16號案件密切相關的警察官員的全名。

這三個被黑的賬戶還有其他指紋將它們--從而將浦那警方--跟更大的Modified Elephant黑客行動聯系起來。電子郵件供應商發現，這些被黑的賬號是從SentinelOne和Amnesty International之前確定為Modified Elephant的IP地址訪問的。在Rona Wilson的案例中，電子郵件供應商的安全分析師指出，Wilson的電子郵件賬號在2018年4月收到了一封釣魚郵件，然后似乎被黑客利用這些IP入侵，同時跟浦那市警察局有關的電子郵件和電話號碼被添加為賬號的恢復聯系人。分析師稱，隨后Wilson的電子郵件賬號本身被用來向Bhima Koregaon案件中的目標發送其他釣魚郵件--這至少發生在Wilson于2018年6月被捕前兩個月前。

電子郵件供應商的安全分析師告訴媒體，他們決定披露被黑客賬戶的識別證據。“這些人不是去找恐怖分子。他們要對付的是人權捍衛者和記者。而這是不對的。”

為了進一步確認黑客賬號上的恢復電子郵件和電話號碼跟浦那市警方之間的聯系，媒體求助于多倫多大學公民實驗室的安全研究員John Scott-Railton，他跟Amnesty International的其他人早些時候曾披露了針對Bhima Koregaon 16人的黑客行動的程度并表明NSO的黑客工具PegASUS被用來攻擊他們的一些智能手機。為了證明浦那市警方控制了被黑賬號上的恢復聯系人，Scott-Railton在印度手機號碼和恢復電話號碼的開源數據庫中挖掘出條目，進而將其跟一個以pune@ic.in 結尾的電子郵件地址聯系起來，這是浦那警方使用的其他電子郵件地址的后綴。Scott-Railton發現，該號碼在數據庫中也跟同一個浦那警方官員的黑客賬號所連接的恢復電子郵件地址有關。

另外，安全研究員Zeshan Aziz在TrueCaller（一款來電顯示和電話攔截應用）泄露的數據庫中發現了跟浦那警方官員姓名相關的恢復電子郵件地址和電話號碼并在印度工作招聘網站iimjobs.com泄露的數據庫中發現了與他姓名相關的電話號碼。最后，Aziz在印度警方的多個存檔網絡目錄中發現了與該官員姓名相關的恢復電話號碼。