关于ZAKER 融媒体解决方案 合作 加入

VandaTheGod 的 7 年黑历史终因太嘚瑟被扒了出来

51CTO 06-03

自 2013 年以来,世界各国政府的许多官方网站都遭到了黑客的攻击和攻击,攻击者自称是 "VandaTheGod"。

黑客的目标是许多国家的政府,包括 : 巴西、多米尼加共和国、特立尼达和多巴哥、阿根廷、泰国、越南和新西兰。这些被攻击的网站上留下的许多信息暗示,攻击是出于反政府情绪的动机,是为了打击社会不公,黑客认为这些不公是政府腐败的直接结果。

尽管网站的丑化给了 VandaTheGod 很多关注,但攻击者的活动不仅限于此,还包括窃取信用卡信息和泄露敏感的个人信息。

然而,通过仔细研究这些攻击,我们能够绘制出 VandaTheGod 多年来的活动图,并最终发现攻击者的真实身份。

被 VandaTheGod 攻击的网站

高调的社交媒体活动

这个 "VandaTheGod" 角色背后的组织过去曾使用了多个别名,比如 "Vanda de Assis" 或 "SH1N1NG4M3",并且在社交媒体 ( 尤其是 Twitter ) 上非常活跃。他们通常会与公众分享这些黑客努力的结果:

遭到攻击的巴西政府网站,如攻击者的 Twitter feed 所示

有时甚至会将此 Twitter 帐户的链接添加到 VandaTheGod 在受感染网站上留下的消息中,从而确认此配置文件确实由攻击者管理。

描述 VandaTheGod 的 Twitter 帐户的受感染网站

这个账号里的很多推文都是用葡萄牙语写的,此外,攻击者声称自己是 " 巴西网络军队 " 或 "BCA" 的一部分,经常在被盗账户和网站的截图中显示 BCA 的标识。

VandaTheGod 与 " 巴西网络军队 " 的关系

是社会极端主义还是黑客行为 ?

VandaTheGod 不仅攻击政府网站,还攻击公众人物、大学、甚至医院。在其中一起案件中,攻击者声称可以获得 100 万名新西兰患者的医疗记录,这些记录以 200 美元的价格出售。

VandaTheGod 声称可以访问新西兰基层卫生组织的数据

尽管公开的黑客活动报道有时可能阻止攻击者追捕新目标,但令人奇怪的是,此人似乎很受关注,并且经常对有关 VandaTheGod 成就的报道感到自豪。他们甚至将一些媒体报道视频上传到 VandaTheGod YouTube 频道。

攻击者自我吹嘘的媒体报道

大多数 VandaTheGod 对政府的攻击都是出于政治动机,但仔细查看一些推特,就会发现攻击者也在试图把个人作为攻击目标:总共入侵 5000 个网站。

VandaTheGod 宣布的 5000 个网站被黑的目标

根据 zone-h 记录 ( 一个记录恶意网站事件的服务 ) ,这个目标几乎达到了,因为目前有 4820 个与 VandaTheGod 有关的被黑网站记录。尽管这些网站中的大多数都是通过大规模扫描互联网上的已知漏洞而被黑客入侵的,但列表中还包括众多政府和学术网站,VandaTheGod 似乎是故意选择的。

在 Zone-H 中被入侵的记录

VandaTheGod 的隐藏术

VandaTheGod 在多个黑客团体中的主要作用以及对公众的热爱,意味着他们通过众多的社交媒体帐户,备用帐户 ( 如被删除 ) ,电子邮件地址,网站等等,与黑客社区中的其他人保持联系。多年来,这个活动留下了大量的信息,这些信息为我们的研究提供了帮助。

VandaTheGod 宣传的电子邮件联系信息

例如,VandaTheGod [ . ] com 的 WHOIS 记录显示,该网站是由一个来自巴西的人注册的,更确切地说,是来自 Uberlandia,使用的是电子邮件地址 fathernazi@gmail [ . ] com。碰巧的是,过去 VandaTheGod 声称自己是 UGNazi 黑客组织的成员。

VandaTheGod [ . ] com WHOIS 信息

这个电子邮件地址被用来注册其他网站,如 braziliancyberarmy [ . ] com:

由 fathernazi@gmail.com 注册的其他域

然而,这并不是唯一一个由 VandaTheGod 在网上分享的关于攻击者身份的有价值的信息。例如,下面的截图显示了巴西女演员兼电视节目主持人米里安 · 里奥斯被泄露的电子邮件账户:

米里安 · 里奥斯在 VandaTheGod 的 Twitter feed 上的受感染帐户的屏幕截图

然而,这张截图也显示了一个名为 "Vanda De Assis" 的 Facebook 选项卡,查找这个名字后,我们找到了一个属于攻击者的个人资料:

Vanda De Assis 的 Facebook 账号

在对 iOS 数字取证和事件响应 ( DFIR ) 进行例行调查之后,研究人员发现了一些可疑事件,这些事件早在 2018 年 1 月就影响了 iOS 上的默认邮件应用程序。研究人员分析了这些事件,发现了一个影响苹果 iphone 和 ipad 的可利用漏洞。ZecOps 在很长一段时间内,在企业用户、vip 和 mssp 上检测到该漏洞的多个触发器。

该漏洞的攻击范围包括向受害者的邮箱发送自定义电子邮件,使其能够在 iOS 12 上的 iOS MobileMail 应用程序或在 iOS 13 上发送的邮件中触发该漏洞。

几乎没有可疑事件包括黑客通常使用的字符串 ( 例如 414141 … 4141 ) ,经过确认,我们验证了这些字符串是由电子邮件发送者提供的。值得注意的是,尽管有证据显示证实了受攻击者的电子邮件是由受害者的 iOS 设备接收和处理的,但本应接收并存储在邮件服务器上的相应电子邮件却丢失了。因此,我们推断这些电子邮件可能已被有意删除。

我们知道从 2018 年 1 月开始在 iOS 11.2.2 上发生了多个触发事件,当前,攻击者可能正在滥用这些漏洞,详情请点此。在研究触发这些漏洞的过程中,我们已经看到一些可疑受害者之间的相似之处。

受影响的版本:1. 所有经过测试的 iOS 版本都容易受到攻击,包括 iOS 13.4.1;2. 根据我们的发现,这些漏洞都是在 iOS 11.2.2 或更高版本上主动触发的 ;3.iOS 6 及更高版本容易受到攻击,iOS 6 于 2012 年发布,iOS6 之前的版本可能也会受到攻击,但我们尚未检查较早的版本。因为在 iOS 6 发行时,iPhone 5 已上市。

研究人员发现,MIME 库中 MFMutableData 的实现缺少对系统调用 ftruncate ( ) 的漏洞检查,该漏洞导致越界写入。我们还找到了一种无需等待系统调用 ftruncate 失败即可触发 OOB-Write 的方法。此外,我们发现了可以远程触发的堆溢出。众所周知,这两种漏洞都是可以远程触发的。OOB 写入漏洞和堆溢出漏洞都是由于相同的漏洞而引发的,即未正确处理系统调用的返回值。远程漏洞可以在处理下载的电子邮件时触发,在这种情况下,电子邮件将无法完全下载到设备上。

受影响的库:/System/Library/PrivateFrameworks/MIME.framework/MIME; 易受攻击的函数:- [ MFMutableData appendBytes:length: ] 。利用漏洞后的异常行为,除了手机邮件应用暂时放缓外,用户观察不到任何其他异常行为。在 iOS 12 上尝试利用漏洞 ( 成功 / 失败 ) 之后,用户只会注意到邮件应用程序突然崩溃。在 iOS13 上,除了暂时的速度下降之外,这不会引起注意。如果随后进行另一次攻击并删除电子邮件,则失败的攻击在 iOS 13 上不会明显。

在失败的攻击中,攻击者发送的电子邮件将显示消息:" 此消息无内容。" 崩溃取证分析,用户经历的部分崩溃 ( 多次崩溃中的一部分 ) 如下 ; 崩溃的指令是 stnp x8,x9, [ x3 ] ,这意味着 x8 和 x9 的值已被写入 x3 并由于访问存储在 x3 中的无效地址 0x000000013aa1c000 而崩溃。为了找出导致进程崩溃的原因,我们需要看一下 MFMutableData 的实现。下面的调用树是从崩溃日志中提取的,只有选定的一些设备才会发生崩溃。通过分析 MIME 库,- [ MFMutableData appendBytes:length: ] 的伪代码如下:在崩溃发生之前执行以下调用堆栈:如果数据大小达到阈值,则使用文件存储实际数据,当数据更改时,应相应更改映射文件的内容和大小,系统调用 ftruncate ( ) 被 inside - [ MFMutableData _flushToDisk:capacity: ] 调用以调整映射文件的大小。ftruncate 的帮助文档是这样说明的:如上所示,如果调用失败,则返回 -1,并且全局变量 errno 指定漏洞。这意味着在某些情况下,此系统调用将无法截断文件并返回漏洞代码。但是,在 ftruncate 系统调用失败时,_flushToDisk 无论如何都会继续,这意味着映射的文件大小不会扩展,执行最终会到达 appendBytes ( ) 函数中的 memmove ( ) ,从而导致 mmap 文件出现超出边界 ( OOB ) 的写入。

尽管此配置文件没有共享有关 VandaTheGod 真实身份的任何详细信息,但我们能够看到此名称与攻击者操作的 Twitter 帐户之间有许多相似之处,因为在两个平台上经常共享相同的内容:

在 VandaTheGod 的 Twitter 帐户上的黑客活动图片

在 Vanda de Assis 的 Facebook 帐户上的黑客行为完全相同

然而,更有趣的是,上面的截屏显示了一个用户的名字,我们将在这里仅通过首字母 M. R. 来识别。

VandaTheGod 的电脑截图,显示了可能的身份

起初,我们不确定 M. R. 是否是 VandaTheGod 的真实姓名首字母,但我们认为值得调查,因为带有这些首字母的名字也出现在 VandaTheGod 的 Twitter 上的一些截图中,作为用于此黑客活动的计算机的用户名。

起初,我们尝试在 Facebook 上搜索名为 M.R. 的人,但这并不可能成功。

当我们与之前在 vandathegod.com 的 WHOIS 信息:"UBERLANDIA" 中观察到的城市一起搜索 M.R. 时,便是我们的突破。

这仍然给了我们许多 Facebook 个人资料,但是我们能够找到一个帐户,其中包含认可巴西网络军的上载图像。

现在,我们所要做的就是把这个人的账号和我们所知道的凡达神的账号联系起来。

我们在新发现的个人资料和 Vanda de Assis 的 Facebook 账户之间找到了几篇重叠文章。

M.R. 的 Facebook 个人资料上的资料

在 Vanda de Assis 的 Facebook 个人资料中,有一模一样的图片

最后,我们从不同角度 ( 即海报的客厅 ) 以不同的角度找到了共享的环境照片。这证实了 M.R. 和 VandaTheGod 帐户均由同一个人控制。

VandaTheGod 推特账户上的客厅视图

MR 的 Facebook 帐户上的同一客厅视图

随后,研究者将这些发现报告给相关执法部门。不过截止发稿时,所有详细的社交媒体资料仍然存在,但攻击者个人资料中与 VandaTheGod 别名共享的部分重叠的许多照片后来都被删除了。此外,到 2019 年底,这些个人资料上的活动停止了,从那以后,此人就没有发布过任何更新。

结论

自 2013 年以来,VandaTheGod 的黑客活动一直针对政府、公司和个人。他们攻击政府网站,出售公司信息,并在网上泄漏许多个人信用卡信息。

尽管许多人往往低估了攻击性黑客组织,但 VandaTheGod 已经成功地对知名网站进行了多次攻击,事实证明,黑客经常伴随着犯罪活动,例如盗窃个人账号的资金和银行的存款,甚至是与更广泛的网络犯罪社区共享他们的攻击和技术。

VandaTheGod 成功进行了许多黑客攻击,但最终却因为自己的招摇,他留下了许多线索,从而暴露了自己的真实身份,尤其是在他的黑客职业生涯初期。最终,我们能够确定 VandaTheGod 就是一个巴西人。

【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0

以上内容由"51CTO"上传发布 查看原文

觉得文章不错,微信扫描分享好友

扫码分享