将VandaTheGod带到地球:揭露7年黑客行动背后的秘密

介绍

自2013年以来,世界各地属于政府的许多官方网站遭到自称为“ VandaTheGod”的攻击者的攻击和破坏。 黑客将目标对准了许多国家/地区的政府,这些国家包括:巴西,多米尼加共和国,特立尼达和多巴哥,阿根廷,泰国,越南和新西兰。污损网站上留下的许多消息暗示,攻击是出于反政府情绪的动机,是为了打击社会不公,黑客认为这是政府腐败的直接结果。 尽管网站的污点引起了VandaTheGod的极大关注,但攻击者的活动超出了范围,窃取了信用卡详细信息并泄露了敏感的个人凭据。 但是,通过仔细检查这些攻击,我们能够绘制出多年来VandaTheGod的活动地图,并最终揭示了攻击者的真实身份。
图1:由VandaTheGod入侵的网站。

社交媒体活动

“ VandaTheGod”角色背后的人过去曾使用多个别名进行操作,例如“ Vanda de Assis”或“ SH1N1NG4M3”,并且在社交媒体(主要是Twitter)上非常活跃。他们通常会与公众分享这些黑客努力的结果:
图2:遭到破坏的巴西政府网站,如攻击者的Twitter feed所示。 有时甚至会将此Twitter帐户的链接添加到VandaTheGod在受感染网站上留下的消息中,从而确认此配置文件确实由攻击者管理。
图3:描述VandaTheGod的Twitter帐户的受感染网站。 此帐户中的许多推文都是用葡萄牙语编写的。此外,攻击者声称是“巴西网络军”或“ BCA”的一部分,经常在受感染帐户和网站的屏幕截图中显示BCA的徽标:
图4:VandaTheGod与“巴西网络军”的关系。

黑客行为还是黑客行为?

VandaTheGod不仅追随政府网站,而且还对公众人物,大学甚至医院发起了攻击。在一个案例中,攻击者声称可以获取来自新西兰的100万患者的医疗记录,这些记录以200美元的价格出售:
图5:VandaTheGod声称有权访问新西兰的初级卫生组织的数据。 尽管公开报道的黑客活动有时可能阻止攻击者追捕新目标,但在这种情况下,此人似乎很受关注,并且经常对有关VandaTheGod成就的报道感到自豪。他们甚至将一些媒体报道视频上传到VandaTheGod YouTube 频道
图6:攻击者吹嘘媒体报道。 VandaTheGod对政府的攻击大多数是出于政治动机,但仔细查看一些推文,可以发现攻击者也试图实现个人目标:总共攻击了5,000个网站。
图7:VandaTheGod宣称的目标是建立5000个被黑网站。 根据zone-h记录(一种记录污损网站事件的服务),这一目标已接近实现,因为目前有4,820条与VandaTheGod链接的被黑客入侵网站的记录。尽管这些网站中的大多数都是通过大规模扫描互联网上的已知漏洞而被黑客入侵的,但列表中还包括众多政府和学术网站,VandaTheGod似乎是故意选择的。
图8:VandaTheGod在Zone-H上受感染网站的记录。

躲在面具后面

VandaTheGod在多个黑客团体中的主要作用,以及对公众的热爱,意味着他们通过众多社交媒体帐户,备用帐户(如被删除),电子邮件地址,网站等等,与黑客社区中的其他人保持联系。多年来,这项活动为我们留下了很长的信息。
图9:VandaTheGod宣传的电子邮件联系信息。 例如,VandaTheGod [。] com的WHOIS记录显示,该网站是使用电子邮件地址fathernazi @ gmail [。] com 向来自巴西(更具体为来自Uberlandia)的个人注册的。碰巧的是,过去,VandaTheGod声称自己是UGNazi黑客组织的成员。
图10:VandaTheGod [。] com WHOIS信息。 此电子邮件地址用于注册其他网站,例如braziliancyberarmy [。] com:
图11:fathernazi@gmail.com 注册的其他域。 但是,这并不是VandaTheGod在线共享的详细信息泄露有关攻击者身份的宝贵信息的唯一实例。例如,以下屏幕截图显示了巴西女演员和电视节目主持人Myrian Rios的受害电子邮件帐户:
图12:Myrian Rios在VandaTheGod的Twitter feed上的受感染帐户的屏幕截图。 但是,该屏幕快照还显示了一个打开的Facebook选项卡,名称为“ Vanda De Assis”,通过查找该名称,我们找到了属于攻击者的个人资料:
图13:属于Vanda De Assis的Facebook帐户。 尽管此配置文件没有共享有关VandaTheGod真实身份的任何详细信息,但我们能够看到此名称与攻击者操作的Twitter帐户之间有许多相似之处,因为在两个平台上经常共享相同的内容:
图14:在VandaTheGod的Twitter帐户上的黑客活动图像。
图15:在Vanda de Assis的Facebook帐户上的黑客行为完全相同。 然而,更有趣的是,上面的屏幕截图显示了一个用户名,我们仅在此处以缩写名来标识该用户名:MR
图16:VandaTheGod的PC屏幕截图,显示了可能的身份。 最初我们不确定MR是否是VandaTheGod的真实缩写,但我们认为值得调查,因为这些缩写的名字也出现在VandaTheGod的Twitter上共享的多个屏幕快照中,作为用于此黑客活动的计算机的用户名。 最初,我们尝试在Facebook上搜索名为MR的人,但正如所料,我们面临着太多的可能性,无法全面探索。 当我们与之前在vandathegod.com的WHOIS信息中观察到的城市一起搜索MR时,我们取得了突破性进展:“ UBERLANDIA” 这仍然给了我们许多Facebook个人资料,但是我们能够找到一个帐户,其中包含认可巴西网络军的上载图像。
图17:VandaTheGod的PC屏幕截图,显示了可能的身份。 至此,我们知道我们走上了正确的道路。我们要做的就是将这个人的帐户与已知的VandaTheGod帐户之一关联起来。 我们能够在新发现的个人资料和Vanda de Assis的Facebook帐户之间找到几个交叉位置。
图18:MR的Facebook个人资料上的唯一图像
图19:Vanda de Assis的Facebook个人资料上的相同唯一图像。 最后,我们从不同角度找到了相同环境的共享照片,尤其是海报的客厅。这证实了MR和VandaTheGod帐户均由同一个人控制。
图20:VandaTheGod的Twitter帐户上的客厅视图。
图21:在MR的Facebook帐户上的同一客厅视图。

通知执法

Check Point将这些调查结果报告给了相关的执法部门。所有详细的社交媒体配置文件仍然存在,但是攻击者的个人配置文件中与VandaTheGod别名共享的照片重叠的许多照片后来被删除。此外,这些个人资料上的活动在2019年底停止了,此人此后未发布任何更新。

结论

自2013年以来,VandaTheGod的黑客活动一直针对政府,企业和个人。他们破坏了政府网站,出售了公司信息,并在网上丢弃了许多个人的信用卡信息。 尽管许多人往往低估了破坏性黑客组织,而仅仅是在网站上写标语的数字破坏者,但VandaTheGod已经成功地对知名网站进行了多次攻击,事实证明,黑客行为通常跨越了进一步的犯罪活动,例如凭证和支付卡盗窃,甚至是与更广泛的网络犯罪社区共享他们的攻击和技术,这使它们成为在线安全的真正威胁。。 VandaTheGod成功进行了许多黑客攻击,但最终从OPSEC的角度失败了,因为他留下了许多线索,从而获得了自己的真实身份,尤其是在他的黑客职业生涯初期。最终,我们能够高度确定地将VandaTheGod身份与来自Uberlândia市的巴西特定个人联系起来,并将我们的发现传达给执法部门,以使他们能够采取进一步行动。

附录

随附的表格根据h-zone记录显示了从2019年5月到2020年5月的时间范围内每个国家/地区被黑客入侵的网站数量
国家 #骇客网站
美国 612
澳大利亚 81
荷兰 56
意大利 53
南非 38
加拿大 33
德国 33
泰国 28
英国 20
葡萄牙 16
瑞士 14
挪威 13
西班牙 9
比利时 8
伊朗 8
罗马尼亚 7
越南 6
塞浦路斯 5
捷克共和国 4
丹麦 4
法国 3
爱尔兰 3
肯尼亚 3
瑞典 3
智利 2
哥伦比亚 2
欧洲联盟 2
香港 2
印度尼西亚 2
以色列 2
马耳他 2
不丹 1个
佛得角 1个
埃塞俄比亚 1个
希腊 1个
危地马拉 1个
冰岛 1个
卢森堡 1个
新加坡 1个
特立尼达和多巴哥 1个
0 0 vote
Article Rating

未经允许不得转载:x-sec » 将VandaTheGod带到地球:揭露7年黑客行动背后的秘密

赞 (0) 打赏
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x