Введение
С 2013 года, многие официальные веб-сайты, принадлежащие правительствам во всем мире, были взломаны и дефейснуты злоумышленником, который идентифицировал себя как "VandaTheGod".
Хакер нападал на правительства во многих странах, включая: Бразилию, Доминиканскую Республику, Тринидад и Тобаго, Аргентину, Таиланд, Вьетнам и Новую Зеландию. Многие сообщения, оставленные на дефейснутых веб-сайтах, подразумевают, что атаки были мотивированы антиправительственным настроением и были направлены на борьбу с социальной несправедливостью, которая, по мнению хакера, была прямым результатом коррупции в правительстве.
Несмотря на то, что VandaTheGod уделял много внимания дефейсу сайтов, деятельность злоумышленника не ограничивалась этим: он также крал данные кредитных карт и сливал конфиденциальные личные данные.
Однако, внимательно изучив эти атаки, мы смогли составить карту активности VandaTheGod за прошедшие годы и в конечном итоге раскрыть подлинную личность злоумышленника.
Деятельность в социальных сетях
Человек, стоящий за персоной "VandaTheGod", в прошлом использовал несколько псевдонимов, таких как "Vanda de Assis" или "SH1N1NG4M3", и был очень активным в социальных сетях, в первую очередь в Twitter. Он часто делился результатами своих хакерских взломов с общественностью:
Иногда к сообщению, которое VandaTheGod оставлял на скомпрометированных веб-сайтах, добавлялась ссылка на эту учетную запись в Твиттере, подтверждающая, что этот профиль действительно управляется злоумышленником.
Многие из твитов в этом аккаунте были написаны на португальском языке. Кроме того, злоумышленник заявил, что он является частью "Бразильской кибер-армии" или "БКА", часто отображая логотип БКА на скриншотах скомпрометированных учетных записей и веб-сайтов:
Хактивизм или просто взлом?
VandaTheGod не просто следил за правительственными сайтами, но и начал нападать на общественных деятелей, университеты и даже больницы. В одном случае, злоумышленник утверждал, что имел доступ к медицинским картам 1 миллиона пациентов из Новой Зеландии, которые были выставлены на продажу за 200 долларов:
Хотя публичные сообщения о хакерских действиях иногда могут удерживать злоумышленника от преследования новых целей, в этом случае человек, похоже, привлекает внимание и часто хвастается сообщениями, в которых упоминаются достижения VandaTheGod. Он даже загрузил некоторые видео на канал VandaTheGod на YouTube.
Большинство атак VandaTheGod против правительств были политически мотивированными, но более внимательный взгляд на некоторые твиты показывает, что злоумышленник также пытается достичь личной цели: взломать в общей сложности 5000 веб-сайтов.
Согласно записи zone-h (служба, которая регистрирует случаи дефейса веб-сайтов), эта цель была почти достигнута, поскольку в настоящее время существует 4820 записей о взломанных веб-сайтах, связанных с VandaTheGod. Хотя большинство этих веб-сайтов были взломаны в результате массового сканирования Интернета на наличие известных уязвимостей, в этот список также входят многочисленные правительственные и академические веб-сайты, которые VandaTheGod, похоже, выбирал намеренно.
Что скрывается за маской
Основная роль VandaTheGod в нескольких хакерских группах, а также его любовь к публичности означали, что он поддерживал связь с другими людьми в хакерском сообществе через многочисленные учетные записи в социальных сетях, резервные учетные записи в случае удаления, адреса электронной почты, веб-сайты и многое другое. На протяжении многих лет эта деятельность оставила нам большой след информации для расследования.
Например, запись WHOIS для VandaTheGod.сom показывает, что веб-сайт был зарегистрирован физическим лицом из Бразилии, в частности из Уберландии, с использованием адреса электронной почты Fathernazi@gmail.com. Так получилось, что в прошлом VandaTheGod утверждал, что является членом хакерской группы UGNazi.
Этот адрес электронной почты был использован для регистрации дополнительных веб-сайтов, таких как braziliancyberarmy.com:
Тем не менее, это был не единственный случай, когда подробности, предоставленные VandaTheGod в сети, предоставили ценную информацию о личности злоумышленника. Например, на следующем снимке экрана показана взломанная учетная запись электронной почты бразильской актрисы и телеведущей Мириан Риос:
Однако, на снимке экрана также показана открытая вкладка Facebook с именем "Vanda De Assis", и поиск этого имени привел нас к профилю, принадлежащему злоумышленнику:
Несмотря на то, что в этом профиле не было никаких подробностей о реальной личности VandaTheGod, мы смогли увидеть много сходств между этой учетной записью и учетными записями Twitter, которыми управляет злоумышленник, поскольку один и тот же контент часто использовался на обеих платформах:
Что было более интересно, так это то, что на приведенном выше снимке экрана было показано имя пользователя, которое мы будем идентифицировать здесь только по инициалам: M.R.
Сначала мы не были уверены, что M. R. были настоящими инициалами VandaTheGod, но мы решили, что это стоит расследовать, поскольку имя с этими инициалами также появилось на нескольких скриншотах, опубликованных в Twitter VandaTheGod, в качестве имени пользователя компьютера, используемого для этой хакерской деятельности.
Сначала, мы пытались найти в Facebook людей по имени M.R., но, как и ожидалось, нам было предоставлено слишком много возможностей для полного изучения.
Наш прорыв произошел, когда мы искали M.R. в связи с городом, который мы ранее наблюдали в информации WHOIS vandathegod.com: «UBERLANDIA»
Это все еще дало нам многочисленные профили в Facebook, но мы смогли найти одну учетную запись, которая содержала загруженное изображение, поддерживающее Бразильскую кибер-армию.
В этот момент мы знали, что мы на правильном пути. Нам осталось только соединить учетную запись этого человека с одной из известных учетных записей VandaTheGod.
Нам удалось найти несколько перекрестных сообщений между недавно обнаруженным профилем и учетной записью Vanda de Assis’s в Facebook.
Наконец, мы нашли общие фотографии одного и того же окружения под разными углами, в частности, плаката в гостинной. Это подтвердило, что аккаунты M.R. и VandaTheGod контролируются одним и тем же лицом.
Уведомление правоохранительных органов
Check Point сообщила об этих результатах в соответствующие правоохранительные органы. Все подробные профили в социальных сетях все еще существуют, но многие фотографии в личном профиле злоумышленника, которые пересекаются с теми, которые были опубликованы псевдонимом VandaTheGod, были позже удалены. Более того, активность в этих профилях была приостановлена к концу 2019 года, и с тех пор этот человек не публикует никаких обновлений.
Заключение
С 2013 года хакерская деятельность VandaTheGod ориентирована на правительства, корпорации и частных лиц. Ои портил правительственные веб-сайты, продавал корпоративную информацию и размещал в Интернете информацию о кредитных картах многих людей.
В то время как многие склонны недооценивать группы, занимающиеся хищением информации, как цифровые вандалы, пишущие лозунги на веб-сайтах, VandaTheGod доказал многочисленными успешными атаками на авторитетные веб-сайты, что хактивизм часто пересекает границу дальнейшей криминальной деятельности, такой как учетные данные и кража платежных карт, и действительно делиться своими подвигами и методами с более широким сообществом киберпреступников, что делает их реальной угрозой для онлайн-безопасности.
VandaTheGod преуспел в проведении множества хакерских атак, но в конечном итоге потерпел неудачу с точки зрения OPSEC, поскольку оставил множество следов, которые привели к его истинной личности, особенно в начале его хакерской карьеры.
В конечном итоге мы смогли с высокой степенью достоверности связать личность VandaTheGod с конкретным бразильским человеком из города Уберландия и передать полученные данные правоохранительным органам, чтобы они могли предпринять дальнейшие действия.
Источник: https://research.checkpoint.com/2020/vandathegod/
Автор перевода: yashechka
Переведено специально для портала xss.pro (c)
С 2013 года, многие официальные веб-сайты, принадлежащие правительствам во всем мире, были взломаны и дефейснуты злоумышленником, который идентифицировал себя как "VandaTheGod".
Хакер нападал на правительства во многих странах, включая: Бразилию, Доминиканскую Республику, Тринидад и Тобаго, Аргентину, Таиланд, Вьетнам и Новую Зеландию. Многие сообщения, оставленные на дефейснутых веб-сайтах, подразумевают, что атаки были мотивированы антиправительственным настроением и были направлены на борьбу с социальной несправедливостью, которая, по мнению хакера, была прямым результатом коррупции в правительстве.
Несмотря на то, что VandaTheGod уделял много внимания дефейсу сайтов, деятельность злоумышленника не ограничивалась этим: он также крал данные кредитных карт и сливал конфиденциальные личные данные.
Однако, внимательно изучив эти атаки, мы смогли составить карту активности VandaTheGod за прошедшие годы и в конечном итоге раскрыть подлинную личность злоумышленника.
Деятельность в социальных сетях
Человек, стоящий за персоной "VandaTheGod", в прошлом использовал несколько псевдонимов, таких как "Vanda de Assis" или "SH1N1NG4M3", и был очень активным в социальных сетях, в первую очередь в Twitter. Он часто делился результатами своих хакерских взломов с общественностью:
Иногда к сообщению, которое VandaTheGod оставлял на скомпрометированных веб-сайтах, добавлялась ссылка на эту учетную запись в Твиттере, подтверждающая, что этот профиль действительно управляется злоумышленником.
Многие из твитов в этом аккаунте были написаны на португальском языке. Кроме того, злоумышленник заявил, что он является частью "Бразильской кибер-армии" или "БКА", часто отображая логотип БКА на скриншотах скомпрометированных учетных записей и веб-сайтов:
Хактивизм или просто взлом?
VandaTheGod не просто следил за правительственными сайтами, но и начал нападать на общественных деятелей, университеты и даже больницы. В одном случае, злоумышленник утверждал, что имел доступ к медицинским картам 1 миллиона пациентов из Новой Зеландии, которые были выставлены на продажу за 200 долларов:
Хотя публичные сообщения о хакерских действиях иногда могут удерживать злоумышленника от преследования новых целей, в этом случае человек, похоже, привлекает внимание и часто хвастается сообщениями, в которых упоминаются достижения VandaTheGod. Он даже загрузил некоторые видео на канал VandaTheGod на YouTube.
Большинство атак VandaTheGod против правительств были политически мотивированными, но более внимательный взгляд на некоторые твиты показывает, что злоумышленник также пытается достичь личной цели: взломать в общей сложности 5000 веб-сайтов.
Согласно записи zone-h (служба, которая регистрирует случаи дефейса веб-сайтов), эта цель была почти достигнута, поскольку в настоящее время существует 4820 записей о взломанных веб-сайтах, связанных с VandaTheGod. Хотя большинство этих веб-сайтов были взломаны в результате массового сканирования Интернета на наличие известных уязвимостей, в этот список также входят многочисленные правительственные и академические веб-сайты, которые VandaTheGod, похоже, выбирал намеренно.
Что скрывается за маской
Основная роль VandaTheGod в нескольких хакерских группах, а также его любовь к публичности означали, что он поддерживал связь с другими людьми в хакерском сообществе через многочисленные учетные записи в социальных сетях, резервные учетные записи в случае удаления, адреса электронной почты, веб-сайты и многое другое. На протяжении многих лет эта деятельность оставила нам большой след информации для расследования.
Например, запись WHOIS для VandaTheGod.сom показывает, что веб-сайт был зарегистрирован физическим лицом из Бразилии, в частности из Уберландии, с использованием адреса электронной почты Fathernazi@gmail.com. Так получилось, что в прошлом VandaTheGod утверждал, что является членом хакерской группы UGNazi.
Этот адрес электронной почты был использован для регистрации дополнительных веб-сайтов, таких как braziliancyberarmy.com:
Тем не менее, это был не единственный случай, когда подробности, предоставленные VandaTheGod в сети, предоставили ценную информацию о личности злоумышленника. Например, на следующем снимке экрана показана взломанная учетная запись электронной почты бразильской актрисы и телеведущей Мириан Риос:
Однако, на снимке экрана также показана открытая вкладка Facebook с именем "Vanda De Assis", и поиск этого имени привел нас к профилю, принадлежащему злоумышленнику:
Несмотря на то, что в этом профиле не было никаких подробностей о реальной личности VandaTheGod, мы смогли увидеть много сходств между этой учетной записью и учетными записями Twitter, которыми управляет злоумышленник, поскольку один и тот же контент часто использовался на обеих платформах:
Что было более интересно, так это то, что на приведенном выше снимке экрана было показано имя пользователя, которое мы будем идентифицировать здесь только по инициалам: M.R.
Сначала мы не были уверены, что M. R. были настоящими инициалами VandaTheGod, но мы решили, что это стоит расследовать, поскольку имя с этими инициалами также появилось на нескольких скриншотах, опубликованных в Twitter VandaTheGod, в качестве имени пользователя компьютера, используемого для этой хакерской деятельности.
Сначала, мы пытались найти в Facebook людей по имени M.R., но, как и ожидалось, нам было предоставлено слишком много возможностей для полного изучения.
Наш прорыв произошел, когда мы искали M.R. в связи с городом, который мы ранее наблюдали в информации WHOIS vandathegod.com: «UBERLANDIA»
Это все еще дало нам многочисленные профили в Facebook, но мы смогли найти одну учетную запись, которая содержала загруженное изображение, поддерживающее Бразильскую кибер-армию.
В этот момент мы знали, что мы на правильном пути. Нам осталось только соединить учетную запись этого человека с одной из известных учетных записей VandaTheGod.
Нам удалось найти несколько перекрестных сообщений между недавно обнаруженным профилем и учетной записью Vanda de Assis’s в Facebook.
Наконец, мы нашли общие фотографии одного и того же окружения под разными углами, в частности, плаката в гостинной. Это подтвердило, что аккаунты M.R. и VandaTheGod контролируются одним и тем же лицом.
Уведомление правоохранительных органов
Check Point сообщила об этих результатах в соответствующие правоохранительные органы. Все подробные профили в социальных сетях все еще существуют, но многие фотографии в личном профиле злоумышленника, которые пересекаются с теми, которые были опубликованы псевдонимом VandaTheGod, были позже удалены. Более того, активность в этих профилях была приостановлена к концу 2019 года, и с тех пор этот человек не публикует никаких обновлений.
Заключение
С 2013 года хакерская деятельность VandaTheGod ориентирована на правительства, корпорации и частных лиц. Ои портил правительственные веб-сайты, продавал корпоративную информацию и размещал в Интернете информацию о кредитных картах многих людей.
В то время как многие склонны недооценивать группы, занимающиеся хищением информации, как цифровые вандалы, пишущие лозунги на веб-сайтах, VandaTheGod доказал многочисленными успешными атаками на авторитетные веб-сайты, что хактивизм часто пересекает границу дальнейшей криминальной деятельности, такой как учетные данные и кража платежных карт, и действительно делиться своими подвигами и методами с более широким сообществом киберпреступников, что делает их реальной угрозой для онлайн-безопасности.
VandaTheGod преуспел в проведении множества хакерских атак, но в конечном итоге потерпел неудачу с точки зрения OPSEC, поскольку оставил множество следов, которые привели к его истинной личности, особенно в начале его хакерской карьеры.
В конечном итоге мы смогли с высокой степенью достоверности связать личность VandaTheGod с конкретным бразильским человеком из города Уберландия и передать полученные данные правоохранительным органам, чтобы они могли предпринять дальнейшие действия.
Источник: https://research.checkpoint.com/2020/vandathegod/
Автор перевода: yashechka
Переведено специально для портала xss.pro (c)
