自2013年以来,世界各国政府的许多官方网站都遭到了黑客的攻击和破坏,攻击者自称是“VandaTheGod”。
黑客的目标是许多国家的政府,包括:巴西、多米尼加共和国、特立尼达和多巴哥、阿根廷、泰国、越南和新西兰。这些被攻击的网站上留下的许多信息暗示,攻击是出于反政府情绪的动机,是为了打击社会不公,黑客认为这些不光是政府腐败的直接结果。
尽管网站的丑化给了VandaTheGod很多关注,但攻击者的活动不仅限于此,还包括窃取信用卡信息和泄露敏感的个人信息。
然而,通过仔细研究这些攻击,我们能够绘制出VandaTheGod多年来的活动图,并最终发现攻击者的真实身份。
被VandaTheGod攻击的网站
高调的社交媒体活动
这个“VandaTheGod”角色背后的组织过去曾使用了多个别名,比如“Vanda de Assis”或“SH1N1NG4M3”,并且在社交媒体(尤其是Twitter)上非常活跃。他们通常会与公众分享这些黑客努力的结果:
遭到攻击的巴西政府网站,如攻击者的Twitter feed所示
有时甚至会将此Twitter帐户的链接添加到VandaTheGod在受感染网站上留下的消息中,从而确认此配置文件确实由攻击者管理。
描述VandaTheGod的Twitter帐户的受感染网站
这个账号里的很多推文都是用葡萄牙语写的,此外,攻击者声称自己是“巴西网络军队”或“BCA”的一部分,经常在被盗账户和网站的截图中显示BCA的标识。
VandaTheGod与“巴西网络军队”的关系
是社会极端主义还是黑客行为?
VandaTheGod不仅攻击政府网站,还攻击公众人物、大学、甚至医院。在其中一起案件中,攻击者声称可以获得100万名新西兰患者的医疗记录,这些记录以200美元的价格出售。
VandaTheGod声称可以访问新西兰基层卫生组织的数据
尽管公开的黑客活动报道有时可能阻止攻击者追捕新目标,但令人奇怪的是,此人似乎很受关注,并且经常对有关VandaTheGod成就的报道感到自豪。他们甚至将一些媒体报道视频上传到VandaTheGod YouTube频道。
攻击者自我吹嘘的媒体报道
大多数VandaTheGod对政府的攻击都是出于政治动机,但仔细查看一些推特,就会发现攻击者也在试图把个人作为攻击目标:总共入侵5000个网站。
VandaTheGod宣布的5000个网站被黑的目标
根据zone-h记录(一个记录恶意网站事件的服务),这个目标几乎达到了,因为目前有4820个与VandaTheGod有关的被黑网站记录。尽管这些网站中的大多数都是通过大规模扫描互联网上的已知漏洞而被黑客入侵的,但列表中还包括众多政府和学术网站,VandaTheGod似乎是故意选择的。
在Zone-H中被入侵的记录
VandaTheGod的隐藏术
VandaTheGod在多个黑客团体中的主要作用以及对公众的热爱,意味着他们通过众多的社交媒体帐户,备用帐户(如被删除),电子邮件地址,网站等等,与黑客社区中的其他人保持联系。多年来,这个活动留下了大量的信息,这些信息为我们的研究提供了帮助。
VandaTheGod宣传的电子邮件联系信息
例如,VandaTheGod[.]com的WHOIS记录显示,该网站是由一个来自巴西的人注册的,更确切地说,是来自Uberlandia,使用的是电子邮件地址fathernazi@gmail[.]com。碰巧的是,过去VandaTheGod声称自己是UGNazi黑客组织的成员。
VandaTheGod[.]com WHOIS信息
这个电子邮件地址被用来注册其他网站,如braziliancyberarmy[.]com:
由[email protected]注册的其他域
然而,这并不是唯一一个由VandaTheGod在网上分享的关于攻击者身份的有价值的信息。例如,下面的截图显示了巴西女演员兼电视节目主持人米里安·里奥斯被泄露的电子邮件账户:
米里安·里奥斯在VandaTheGod的Twitter feed上的受感染帐户的屏幕截图
然而,这张截图也显示了一个名为“Vanda De Assis”的Facebook选项卡,查找这个名字后,我们找到了一个属于攻击者的个人资料:
Vanda De Assis的Facebook账号
在对iOS数字取证和事件响应(DFIR)进行例行调查之后,研究人员发现了一些可疑事件,这些事件早在2018年1月就影响了iOS上的默认邮件应用程序。研究人员分析了这些事件,发现了一个影响苹果iphone和ipad的可利用漏洞。ZecOps在很长一段时间内,在企业用户、vip和mssp上检测到该漏洞的多个触发器。
该漏洞的攻击范围包括向受害者的邮箱发送自定义电子邮件,使其能够在iOS 12上的iOS MobileMail应用程序或在iOS 13上发送的邮件中触发该漏洞。
几乎没有可疑事件包括黑客通常使用的字符串(例如414141…4141),经过确认,我们验证了这些字符串是由电子邮件发送者提供的。值得注意的是,尽管有证据显示证实了受攻击者的电子邮件是由受害者的iOS设备接收和处理的,但本应接收并存储在邮件服务器上的相应电子邮件却丢失了。因此,我们推断这些电子邮件可能已被有意删除。
我们知道从2018年1月开始在iOS 11.2.2上发生了多个触发事件,当前,攻击者可能正在滥用这些漏洞,详情请点此。在研究触发这些漏洞的过程中,我们已经看到一些可疑受害者之间的相似之处。
受影响的版本:1.所有经过测试的iOS版本都容易受到攻击,包括iOS 13.4.1;2.根据我们的发现,这些漏洞都是在iOS 11.2.2或更高版本上主动触发的;3.iOS 6及更高版本容易受到攻击,iOS 6于2012年发布,iOS6之前的版本可能也会受到攻击,但我们尚未检查较早的版本。因为在iOS 6发行时,iPhone 5已上市。
研究人员发现,MIME库中MFMutableData的实现缺少对系统调用ftruncate()的漏洞检查,该漏洞导致越界写入。我们还找到了一种无需等待系统调用ftruncate失败即可触发OOB-Write的方法。此外,我们发现了可以远程触发的堆溢出。众所周知,这两种漏洞都是可以远程触发的。OOB写入漏洞和堆溢出漏洞都是由于相同的漏洞而引发的,即未正确处理系统调用的返回值。远程漏洞可以在处理下载的电子邮件时触发,在这种情况下,电子邮件将无法完全下载到设备上。
受影响的库:/System/Library/PrivateFrameworks/MIME.framework/MIME;易受攻击的函数:-[MFMutableData appendBytes:length:]。利用漏洞后的异常行为,除了手机邮件应用暂时放缓外,用户观察不到任何其他异常行为。在iOS 12上尝试利用漏洞(成功/失败)之后,用户只会注意到邮件应用程序突然崩溃。在iOS13上,除了暂时的速度下降之外,这不会引起注意。如果随后进行另一次攻击并删除电子邮件,则失败的攻击在iOS 13上不会明显。
在失败的攻击中,攻击者发送的电子邮件将显示消息:“此消息无内容。”崩溃取证分析,用户经历的部分崩溃(多次崩溃中的一部分)如下;崩溃的指令是stnp x8,x9,[x3],这意味着x8和x9的值已被写入x3并由于访问存储在x3中的无效地址0x000000013aa1c000而崩溃。为了找出导致进程崩溃的原因,我们需要看一下MFMutableData的实现。下面的调用树是从崩溃日志中提取的,只有选定的一些设备才会发生崩溃。通过分析MIME库,-[MFMutableData appendBytes:length:]的伪代码如下:在崩溃发生之前执行以下调用堆栈:如果数据大小达到阈值,则使用文件存储实际数据,当数据更改时,应相应更改映射文件的内容和大小,系统调用ftruncate()被inside -[MFMutableData _flushToDisk:capacity:]调用以调整映射文件的大小。ftruncate的帮助文档是这样说明的:如上所示,如果调用失败,则返回-1,并且全局变量errno指定漏洞。这意味着在某些情况下,此系统调用将无法截断文件并返回漏洞代码。但是,在ftruncate系统调用失败时,_flushToDisk无论如何都会继续,这意味着映射的文件大小不会扩展,执行最终会到达appendBytes()函数中的memmove(),从而导致mmap文件出现超出边界(OOB)的写入。
尽管此配置文件没有共享有关VandaTheGod真实身份的任何详细信息,但我们能够看到此名称与攻击者操作的Twitter帐户之间有许多相似之处,因为在两个平台上经常共享相同的内容:
在VandaTheGod的Twitter帐户上的黑客活动图片
在Vanda de Assis的Facebook帐户上的黑客行为完全相同
然而,更有趣的是,上面的截屏显示了一个用户的名字,我们将在这里仅通过首字母M. R.来识别。
VandaTheGod的电脑截图,显示了可能的身份
起初,我们不确定M. R.是否是VandaTheGod的真实姓名首字母,但我们认为值得调查,因为带有这些首字母的名字也出现在VandaTheGod的Twitter上的一些截图中,作为用于此黑客活动的计算机的用户名。
起初,我们尝试在Facebook上搜索名为M.R.的人,但这并不可能成功。
当我们与之前在vandathegod.com的WHOIS信息:“UBERLANDIA”中观察到的城市一起搜索M.R.时,便是我们的突破。
这仍然给了我们许多Facebook个人资料,但是我们能够找到一个帐户,其中包含认可巴西网络军的上载图像。
VandaTheGod的电脑截图,显示了可能的身份
现在,我们所要做的就是把这个人的账号和我们所知道的凡达神的账号联系起来。
我们在新发现的个人资料和Vanda de Assis的Facebook账户之间找到了几篇重叠文章。