全球黑客雇佣行业的内部事件，如果您也正遭受互联网威胁，请联系我们！

我们讲述重要的故事。

为了帮助捍卫高质量的报告和引发变革，请支持该局！

在德里豪华的 Leela Palace 酒店的一个安静的壁龛里，两名英国公司调查员正在专心聆听一位年轻的印度企业家的一系列非凡的供词。

28 岁的计算机专家 Tej Singh Rathore 描述了他在新兴的犯罪行业中扮演的角色，从世界各地窃取秘密。他入侵了 500 多个电子邮件帐户，主要是代表他的企业情报客户。

他相信穿着时髦的英国调查人员在印度是为了雇用像他自己这样的“黑客雇佣”组织。事实上，他们是潜入非法黑客行业的卧底记者。

当穿着五颜六色纱丽的客人从三人的桌子旁走过时，拉索尔稍作停顿，然后透露他代表英国客户侵入了多个电子邮件帐户。事实上，他声称，大多数英国私人调查公司都雇用了印度黑客。

“英国人和全世界……都在使用印度黑客，”他说。

利用印度黑社会闯入电子邮件帐户和智能手机已成为多年来激增的一种做法。英国调查人员已经能够委托“黑客雇佣”公司，而不必担心他们会因违反英国的计算机滥用法而受到起诉。

新闻调查局和《星期日泰晤士报》的一项调查揭示了一个主要“黑客雇佣”团伙内部泄露的数据库内容。它显示了针对英国企业、记者和政治家的企业情报公司在整个伦敦金融城的非法计算机黑客攻击的程度。

但这个团伙并不是唯一的。卧底记者与一系列被秘密拍摄的印度黑客取得了联系，这些黑客公开谈论他们的非法工作和他们的地下行业在英国的邪恶影响。

在英国进行黑客攻击是违法的，最高可判处 10 年徒刑。印度也有类似的法律，非法使用电脑最高可判处三年徒刑。

但是黑客们并不害怕被发现。当被问及是否有任何印度黑客被抓时，有人笑了。“一个都没有，”他说。

印度非法贸易的根源

我们调查的一个显着方面是，那些自诩为好人的人往往都是坏人。

近年来，计算机安全公司有一种趋势，他们假装在培训“白帽”黑客，以便利用他们的知识来保护客户免受在线攻击。然而，实际上，他们正在为黑暗面做好准备。

侵入私人电子邮件帐户可以赚很多钱，而且有很多客户愿意付钱。印度黑客行业就是这样开始的。

该行业的创始人之一是一家名为 Appin 的公司，该公司十多年前在德里成立，据说是为了培训新一代“有道德”的黑客，帮助保护个人和企业免受网络攻击。

然而，这家现已倒闭的公司据称秘密建立了一个利润丰厚的副业，从世界各地的客户那里获取现金来攻击个人。据说这些客户包括总部设在英国的企业情报公司。

印度对调查人员来说是一个特别有吸引力的提议。这不仅仅是因为印度对计算机滥用规则的执行是轻描淡写的；在具有不同管辖权的遥远国家实施犯罪大大降低了调查人员被捕或被起诉的风险。

在 Appin 培训的“道德”黑客中，有 Aditya Jain，他的秘密数据库显示他入侵了卡塔尔的批评者，今天也被局和星期日泰晤士报曝光。据一位接受本报卧底记者采访的前雇员透露，这个海湾国家据说是 Appin 的客户之一。卡塔尔对此予以否认。

当 Appin 的活动被公开曝光时，Appin 在非法行业中处于领先地位的日子就此结束。2013 年，挪威网络安全专家将 Appin 与针对十几个国家的大规模网络攻击联系起来。

一年前，Appin 被英国政府贸易部门的全球企业家计划录取。

该部门表示，当该公司被接受加入该计划时，它并不知道对 Appin 的任何指控。

10,000 个被黑的电子邮件帐户

当 Appin 在 2013 年应对黑客指控时，其训练有素的前员工像种子一样分散开来，并成立了新公司，以利用他们在计算机黑暗艺术方面新获得的才能。这创造了一个更加多元化的印度黑客产业。

几家公司在古尔冈设立了办事处，古尔冈是一座城市，高层玻璃建筑纵横交错，位于德里西南郊的尘土飞扬的坑坑洼洼的道路上，世界上一些最大的科技公司，包括 Meta、谷歌和 Twitter，都在这里办公室。

Appin 的继任者之一是一家名为 BellTroX 的公司，该公司成为黑客行业的重要新参与者。该公司董事苏米特·古普塔 (Sumit Gupta) 此前曾在 Appin 工作，在被发现与两名美国私家侦探一起进行大规模黑客行动后，他被列入了美国司法部的通缉名单。

2020 年，加拿大网络安全监管机构 Citizen Lab 公布了证据，证明该公司代表其客户入侵了 10,000 多个电子邮件帐户，其中包括英国律师、政府官员、法官和环保组织的电子邮件帐户。

Citizen Lab 发现，与 BellTroX 相关的 LinkedIn 网络资料得到了数百名企业调查人员的认可。然而，该公司仍在运营，去年 12 月，Facebook 的母公司 Meta 被迫从 Facebook 删除由 BellTroX 运营的 400 个账户。

据说这些爆料引起了西方企业情报界的恐慌，因为许多调查人员曾利用印度公司为他们的客户窃取电子邮件。

卧底行动

由于黑客攻击是非法的，因此该行业高度保密，很少会泄露任何有关非法行为的信息。我们开始了一项秘密调查，以与黑客本人交谈。

两名记者在梅菲尔创建了一家名为 Beaufort Intelligence 的虚假企业调查公司，并伪装成最近退休的英国特勤局成员。

记者随后向印度的可疑黑客发送消息称，他们正在寻求聘请一名网络调查员帮助他们收集有关客户目标的信息。收到回复后，他们于 2 月飞往德里。

第一个做出回应的黑客是一个自称“Mahendra Singh”的人。他的 LinkedIn 社交页面很厚颜无耻：他的技能被列为“安卓黑客”、“手机监控”和“电子邮件跟踪和渗透”。

记者们在德里外交飞地外的 Leela Palace 酒店与他会面喝咖啡。

他的第一个承认是他使用了假名。他实际上是 Tej Singh Rathore。会有更多的忏悔。

臭名昭著的双重谋杀

首先，Rathore 解释了他是如何成为一名黑客的。他说，他在科塔的拉贾斯坦邦技术大学学习信息技术时转而学习“道德黑客”课程，因为他认识到这是一个“新兴行业”。

2014 年以一等学位毕业后，他在印度西北部城市阿姆利则的一家网络安全公司找到了一份工作，他的老板让他知道了一个秘密。他的老板告诉他，计算机“攻击性工作”——用于黑客攻击的术语——比保护系统的“防御性工作”报酬高得多。

选择很明确。拉索尔独自出击，并在 LinkedIn 上给企业情报公司写信，吹捧他的黑客技能。接踵而至的工作将他带入了一个充斥着婚姻纠纷、企业间谍活动和谋杀的世界。

他说，他的第一份工作是在新泽西州为一位酿酒师工作。这位酿酒师希望 Rathore 在她与丈夫离婚之前黑掉她丈夫的电子邮件，以了解他的财务状况。

一项特别有利可图的任务来自一名比利时马术运动员，他委托他攻击德国一位富有的马厩老板。“我向我的比利时客户收取了 20,000 美元，因为他 [闯入] 一个电子邮件 [帐户]，”他回忆道。

他还卷入了加拿大最臭名昭著的双重谋杀案之一。2017 年 12 月，亿万富翁巴里谢尔曼和他的妻子哈妮被发现死在多伦多家中的室内游泳池旁。他们是被皮带勒死的。

亿万富翁 Barry Sherman 和他的妻子 Honey 于 2017 年遇害。印度黑客 Tej Singh Rathore 受雇破解 Sherman 的电子邮件,随着对谋杀案的调查继续进行，拉索尔被告知闯入谢尔曼的堂兄克里温特的电子邮件.

谢尔曼是加拿大第 12 位最富有的人，这起谋杀案引起了轰动。不久之后，拉索尔接到了一名私家侦探的电话，希望他破解死者的电子邮件帐户。拉索尔不确定调查员为谁工作，但他相信最终客户可能是该案的嫌疑人之一。

他没能攻破谢尔曼的电子邮件，但他的工作还没有完成。然后，他受雇调查此案的另一名嫌疑人：谢尔曼的堂兄克里·温特 (Kerry Winter)。

没有证据表明温特与这起犯罪有任何牵连，但他卷入了一场长达十年的诉讼，目的是迫使谢尔曼交出他的一大笔财产。在这位亿万富翁被杀前不久，法院驳回了这一指控。

黑客表示，他的调查发现了温特及其家人的个人详细信息，这让客户“印象深刻”。双重谋杀仍未解决。

Rathore 还侵入了一家香港钻石经销商的情妇，以寻找她“性活动”的细节。拉索尔说，当时她威胁要告诉他的妻子他们的婚外情，除非他付给她一大笔钱，以此勒索他的经销商客户。

他声称，律师事务所通常是委托他从事黑客工作的私家侦探的最终客户。他说，至少有一次，律师就他们在法庭上所依赖的黑客信息的真实来源向法官撒谎。

几年之内，拉索尔的黑客事业蒸蒸日上。他说，他为入侵的每个电子邮件帐户收取 3,000 到 20,000 美元的费用，并在北美、香港、罗马尼亚、比利时和瑞士建立了企业情报客户。他的下一步行动将是进入利润丰厚的非法英国市场。

窃取密码和监控

在许多方面，拉索尔是每个人的噩梦。他最简单的伎俩是向受害者发送包含虚假 Facebook 登录页面的网络钓鱼电子邮件，希望以此诱骗他们交出用户名和密码。

他声称他可以制作一个 Facebook 登录页面，“非常详细”，以至于与真实页面无法区分。“大多数时候，目标会给我们他们自己的密码，”拉索尔解释道。“他们认为该网站是合法的，该网站是不合法的，并且他们自己提供了密码。我们不是神，所以我们无法预测密码。他们总是给予。”

Rathore 经常将登录详细信息传递给调查人员客户，这使他们能够访问受害者的私人信息。由于许多 Apple 和 Google 帐户登录通常只需要一个密码，因此调查人员可以迅速查获受害者存储在云中的所有内容。

他说：“你可以直接访问电子邮件，你可以直接访问驱动器，你可以直接访问日历，你可以直接访问联系人，你可以直接访问 [他们的] 位置。” 他说受害者的照片和最近的 WhatsApp 消息也可能被盗。

在接近他的受害者之前，他会研究他们的个人生活，寻找有关家庭、人际关系、教养、孩子、财富和度假胜地的细节。为此，他使用自动化软件在互联网上搜索有关受害者的信息碎片，并监控目标的 WhatsApp 帐户以确定他们通常在线的时间。

“我们对你进行了一周、两周、三周或者一个月的监视，”他说。这有助于他在冒充受害人的熟人时更具说服力。

他说，这是一场“心理游戏”。他举的一个例子是一名印度男子雇用黑客为他完成他的空姐女友电子邮件帐户破解，因为他怀疑她在欺骗他。

由于女友“有点酗酒”，Rathore 分析了她的社交媒体并在她最喜欢的酒吧之一找到了一张她的照片。然后他冒充酒吧老板并将照片通过电子邮件发送给她。电子邮件说：“嗨，我想和你分享那张照片，这样你就可以把它保存到你的手机上。回来的时候，把门口的照片出示一下，就可以打折了。”

当她点击图片时，下载了恶意软件，允许 Rathore 上传她的私人信息。“它奏效了，”他回忆道。“我得到了电子邮件帐户。”

对于一些客户，他提议将被黑客入侵的信息上传到一个安全的共享在线数据库，以便他们可以阅读。他还可以拍摄自己参观受害人邮箱的过程。

“我可以制作视频。我只是打开账户，查看每封邮件、每个附件，制作完整的视频并发送给你，”他解释道。

非法的英国市场

Rathore 称，英国公司十多年来一直在雇用印度黑客，而且主要是该行业两大参与者 Appin 和 BellTroX 的客户。

他在 LinkedIn 上与英国企业情报公司联系后，于 2019 年首次受聘。对于黑客来说，这是一条丰富的脉络。“英国有很多公司，他们正在寻找相同类型的 [黑客] 服务，”他告诉卧底记者。

2020 年，他受命攻击苏格兰精酿啤酒公司 Brewdog 的前经理本·达克沃斯 (Ben Duckworth)，后者曾公开批评该公司。离开 Brewdog 后，Duckworth 建立了自己的啤酒厂，名为 Affinity Beers，现在位于伦敦南部的布里克斯顿。

Rathore 伪装成希望购买 Affinity 的酿酒商，并向 Duckworth 发送了一封电子邮件。“我针对他 [说]，’我是意大利商人，我想投资贵公司，我想获得 40% 的股份，’”他说。

达克沃斯点击了钓鱼邮件，拉索尔得到了他账户的密码。“在我访问了他的电子邮件后，我只是将凭据传输给客户，他们想做什么就做什么，”Rathore 回忆道。

Rathore 说他受委托破解 Brewdog 前经理的电子邮件地址，该经理已经建立了自己的啤酒厂 Affinity

当《星期日泰晤士报》和调查局将拉索尔的说法告知达克沃斯时，这位酿酒商表示他并不知道自己遭到了黑客攻击。拉索尔不知道最终客户是谁，因为他只与私人侦探打交道，他拒绝透露姓名。Brewdog 否认参与了黑客攻击，也没有证据表明该公司是这次攻击的幕后黑手。

在另一起案件中，拉索尔受雇于一位私家侦探，代表伦敦北部郊区的一位客户，该客户怀疑他的妻子有外遇。“丈夫想进入 [她的] 电子邮件帐户和 Facebook 帐户，”拉索尔回忆道。“他想知道她和一个……单身的人聊天了多少时间[以及]那个人是谁。” 拉索尔说，他黑掉了 Facebook 帐户并将详细信息传递给了客户。

拉索尔对他的私人调查客户的名字持谨慎态度，但他确实提到了一个：一家伦敦企业情报公司，该公司雇用了前英国间谍和武装部队成员。他说，它要求他在 2020 年 4 月访问一家白俄罗斯酒店老板的“海外银行账户详细信息”。

该公司否认这些指控。然而，它的网站说它的调查人员可以找到在线账户和电子邮件，并且它使用聪明的新软件来秘密分析互联网的“黑暗”角落。拉索尔说，他试图获取银行账户详细信息的努力没有成功，但他对酒店老板进行了“暗网”搜索。

拉索尔不仅仅是一名黑客。他还受雇为一位英国政客做声誉管理工作。他说，在 2021 年初，一家总部位于伦敦的公司情报公司为 61 岁的前南港保守党议员马修戈登班克斯 (Matthew Gordon-Banks) 代理，为他支付了 1,500 英镑一个月的工作费用，以在政治博客上掩盖一个令人尴尬的故事。

为了让这个故事从谷歌排名中消失，拉索尔花了一个月的时间发布关于这位政治家的正面内容，这些内容是由企业情报公司传递给他的。

这项工作于去年四月结束，显然是成功的。然而，坏消息总有浮出水面的习惯，拉索尔的工作最终以失败告终。通过谷歌搜索这位前国会议员的名字，仍然可以找到令人反感的故事。

上周，戈登-班克斯表示他从未听说过拉索尔，并否认使用过声誉管理公司的服务。

上个月征求意见时，Rathore 声称他只“入侵过 100 次”。“我在吹自己的小号，”他说。

克隆 NHS 网站

另一位热衷于为卧底记者工作的黑客是 Utkarsh Bhargava。他住在班加罗尔，所以记者们在他们位于德里的酒店房间里与他进行了长时间的 Zoom 通话。

Bhargava 说他从事黑客工作将近十年。他开始在印度工程师学会学习计算机科学，并立即在德里的一家公司找到了一份黑客工作。

他将这家公司——从他的网络安全课程中招募了所有 17 名学生——描述为印度政府的“国土安全公司”。“你不会在互联网上找到有关它的任何细节，他们与印度政府密切合作，他们进行所有攻击性的 [黑客] 工作，”他告诉记者。
“他们在卡塔尔，他们在迪拜，他们在巴林。他们在科威特，他们在沙特，他们做了很多事情。”

当时，国土安全公司的培训部门是 Appin，Bhargava 在这家臭名昭著的公司进行了一年的计算机黑客培训。他特别记得 Appin 的黑客为中东的客户工作，在那里他们偷走了“任何东西”。他说：“他们在卡塔尔，他们在迪拜，他们在巴林。他们在科威特，他们在沙特，他们做了很多事情。”

在阿平完成学业后，巴尔加瓦表示，他应印度政府的要求，受命对土耳其、巴基斯坦、埃及和柬埔寨政府发起一系列网络攻击。目标通常是位于其他国家部委的机密文件和档案。他的一位同事试图闯入加拿大政府的计算机系统。

“我们不被允许提问。只是，‘嘿，这就是目标。你有三个月的时间。做任何你想做的事——我们需要结果。这就是它的工作原理……他们会说，’嘿，这是这个特定国家的部门，我们需要这些数据。

“我们的工作是获取数据转储并将其移交给 [印度] 机构…… [目标] 可以是外交部，也可以是国内，也可以是国防，也可以是金融。这取决于他们正在寻找什么样的情报。”

Bhargava 于 2016 年 9 月离开国土安全公司，加入蓬勃发展的商业黑客雇佣行业，并在博帕尔成立了自己的公司 Aristi Cyber​​tech Private Limited，从事私人黑客工作。

他每份工作的收费在 10,000 美元到 15,000 美元之间，为法国、奥地利、德国、意大利和泰国的客户工作。一位姓 Muller 的奥地利客户在 2020 年夏天委托 Bhargava 破解埃及航空公司的乘客名单。

Bhargava 回忆说：“这实际上非常容易。即使在今天，如果您查看埃及航空公司的 IT 信息，他们也不太关心 IT。他们没有适当的安全配置，没有可用的适当架构……这很容易进行。”

Bhargava 有一系列创造性的方法来欺骗受害者放弃他们的密码或将恶意软件下载到他们的设备上。例如，如果他的英国目标之一有医疗问题，他提议创建一个“完全相似”的 NHS 网站，并告诉他们他们需要登录才能订购药物。

“我将为您克隆 NHS [登录页面]，并与您分享链接。你会点击它，你会看到这是国民健康服务，”他说。

他相信他永远不会因任何此类非法活动而受到起诉。“没有人在尝试，”当被问及印度计算机滥用法的执行情况时，他说。“他们是警察，他们不是专业的 IT 人员，所以他们不了解这些事情。”

Pegasus 间谍软件

Bhargava 甚至声称可以访问 Pegasus 间谍软件——世界上最强大的网络武器之一——它可以秘密安装在目标手机上，使黑客能够下载设备的所有内容。

Pegasus 由以色列监控公司 NSO Group 开发，可感染 iPhone 和 Android 手机，并可提取 WhatsApp、Signal 和 Telegram 等加密消息应用程序。它还可以让黑客远程控制手机的摄像头和麦克风。

近年来，威权政府利用该软件对付人权活动家、记者和律师。NSO 集团坚称其间谍软件仅出售给民族国家以保护其安全。

然而，Bhargava 说他在 2019 年发现了 Pegasus 源代码，并声称他和一些商业黑客正在为他们的付费客户使用它。

他将其描述为游戏规则的改变者。“获得……访问权限后，你将拥有完全的控制权，”他说，“你可以自由地做任何你想做的事。” 他说 Pegasus 允许不断监视目标的位置。“如果他们的 GPS 位置被打开，你就可以实时追踪他们，”他解释道。

后来 Bhargava 向记者发送了一份他打算代表他们部署的 Pegasus 代码的副本。我们将代码传递给了国际特赦组织安全实验室的网络安全研究员 Etienne Maynier，他确认它确实是“解构的 Pegasus 代码”。

Maynier 说，要使其可操作，黑客需要重新打包代码并构建一个“在线操作中心”来接收被黑数据。这正是 Bhargava 所说的他打算为卧底记者做的事情。

上个月，Bhargava 说他是“网络安全专家，在网络防御方面工作，我帮助组织保护他们的数字资产”。他补充说：“我与黑客无关。” NSO Group 否认 Pegasus 代码已泄露。

晚上偷看手机

黑客使用间谍软件的障碍是，受害者的手机会变热，并且在下载内容时会明显变慢。因此，黑客研究受害者的日常生活，以确定他们不使用手机的时间。

“我们必须为他们的生活方式做出改变，”Bhargava 解释道。对于大多数目标，他建议在凌晨侵入他们的手机。“数据克隆是在夜间完成的……可能是凌晨 2 点到凌晨 3 点。那时他们会进入深度睡眠，不会看手机。”
“数据克隆是在夜间完成的……可能是凌晨 2 点到凌晨 3 点。那时他们会沉睡”

对于虔诚的穆斯林目标——比如他入侵的一家中东公司的员工——还有另一个时间窗口，他们可能不会使用手机。“我们过去常常在星期五的祈祷时间袭击他们。当时没有人在那里，他们忙于祈祷——而我们正在做我们的工作。”

Rathore 也想部署 Pegasus。他声称他已经与一名为 NSO Group 工作的腐败的以色列内部人士取得联系，并且他正在谈判访问 Pegasus 以便他可以为他的客户提供强大的新服务。“我希望在三四个月内完成合作，我也可以提供这项服务，”他说。

NSO 集团否认 Pegasus 已被出售给 Rathore。

会见前陆军情报局长

在德里机场跑道旁五星级万豪酒店的花园里，两名卧底记者坐在一张桌子对面，旁边坐着一个对国家资助的网络攻击了如指掌的人。

Ram Chhillar 准将曾是印度军队“跨界”情报部门的指挥官，并在 2014 年退休之前负责监督其“敏感”网络部门。他在古尔冈成立了一家名为 Phronesis 的公司。

这位准将的间谍背景让他对卧底记者声称自己是前英国特工产生了怀疑。他和一位同事一起参加了会议，这位同事特别强调该公司没有进行黑客攻击、“网络窃取”或获取“银行对账单”。

然而，这位准将确实承认挖掘“深层、黑暗的网络”以获取人们的个人数据。“保险公司有他们的违规行为，所以那里的数据集也包括你和我的个人数据。所以所有可用的东西，”Chhillar 告诉记者。“它增加了你的调查。”

他声称他的公司是寻找此类数据的专家，他们甚至可以从暗网上变出人们的计算机密码。“[密码]需要付费才能获得……这是情报收集的一部分，”他说。他的同事补充说：“这需要时间，但是是的，它已经完成了，它每天都在进行，无处不在。”

这两个人没有解释为什么他们的客户希望购买别人的密码。

Chhillar 说，该公司有几个英国的企业情报客户。他的同事说，他曾与伦敦两家领先的企业情报公司的董事总经理打过高尔夫球。“我和他们一起喝酒，他们是我的老朋友，”他说。

上个月奇希拉尔未能解释他为何向客户提供目标密码，但坚称他不会“纵容或支持”黑客电子邮件或“世界任何地方的任何此类非法活动”。

黑客工厂

在离开印度之前，卧底记者试图联系另一家名为 Cyber​​Root 的黑客公司。

根据伦敦高等法院的一起案件，该公司被指控从一名前英国警官转为私家侦探 Nick Del Rosso 那里获得 100 万美元，以黑掉海湾酋长国哈伊马角的反对者。

Cyber​​Root 的办公室位于古尔冈市郊一座玻璃建筑的五楼。当两名记者走进办公室并说他们来自伦敦一家企业情报公司时，接待员显得很慌张。

她走开了，记者们从她半开着的门周围探出头来。里面是一间漆黑的大房间，里面排着成排的电脑。一些穿着连帽衫的年轻员工正弯着腰在键盘上密集敲击键盘。

这是一个正在行动的印度犯罪黑客工厂吗？接待员回来说她的老板不在。这不是那种欢迎不速之客的地方。

上个月，Cyber​​Root 否认参与黑客攻击，并表示 Del Rosso 支付的款项用于网络安全和其他计算机相关服务。Del Rosso 否认委托黑客。

这个故事更新于 2023 年 4 月 28 日。由黑客网站Lvbug.com整理发布

记者：Franz Wild、Ed Siddons、Simon Lock、Jonathan Calvert 和 George Arbuthnott
推动者编辑：Franz Wild
Impact 制作人：Lucy Nash
全球编辑：James Ball
Bureau 编辑：Meirion Jones
制作编辑：Alex Hess
事实核查员：Alice Milliken
插图：Daniel Stolle
动画：罗德里·安德鲁斯

我们的 Enablers 项目由开放社会基金会、Hollick 家庭基金会、Sigrid Rausing 基金会、Joffe Trust 和局外核心基金资助。我们的资助者对主席团的编辑决定或产出没有任何影响。