РУССКИЙ
РУССКИЙ
ENGLISH
02.08.2017
Под маской хактивизма
Group-IB установила личности предполагаемых участников происламской хакерской группы United Islamic Cyber Force
Несколько часов сайт Квебекского блока, одной из федеральных политических партий Канады, был недоступен. Посетителей встречала заставка с угрожающими красными буквами: «United Islamic Cyber Force, Salami Ala Aqsha». За взломом этого ресурса в марте 2015 года стояла одна из активных происламских хакерских групп — United Islamic Cyber Force (UICF). Их атака стала ответом на критику канадских политиков женщины-мусульманки, которая появилась в хиджабе в Палате общин.
Хактивизм — это синтез социальной активности и хакерства. Все операции хактивистов — DDOS-атаки, взломы сайтов для кражи информации или публикации собственных радикальных текстов — преследуют одну цель: привлечь к своей деятельности максимальное внимание. Именно поэтому жертвами активистов становятся государственные учреждения, крупный около правительственный бизнес, СМИ или отдельные медийные персоны, а поводом для атак — политические или религиозные конфликты, массовые беспорядки, войны.
Впервые UICF заявила о себе в январе 2014 года. Участниками группы в разные годы были не менее 40 человек из Индонезии, Пакистана, Марокко, Алжира, Косово. Все участники группировки в той или иной степени открыто поддерживают радикальные течения ислама.

Group-IB установила личности некоторых хактивистов UICF, и сегодня мы готовы рассказать, как о самой группировке, так и о ее участниках. В подавляющем большинстве случаев хактивисты — это очень молодые люди с невысоким уровнем технической подготовки, ставшие жертвой пропаганды или чужого влияния.
Послужной список
За три года своего существования члены группировки United Islamic Cyber Force участвовали во многочисленных операциях.

Вот некоторые из самых известных:
#OpFrance
Совместная атака на французские интернет-ресурсы в январе 2015, организованная промусульманскими хакерами-радикалами из группировок United Islamic Cyber Force, Fallaga Team, AnonGhost, Cyber Caliphate после террористического акта в парижской редакции Charlie Hebdo.
#OpIsrael
«Хакинтифада», направленная против веб-сайтов и онлайн-ресурсов Израиля. Первая атака произошла 7 апреля 2013 года — тогда наблюдались сбои в работе сайта министерства иностранных дел и министерства просвещения, потом атаки стали традиционными и происходило каждый год, 7 апреля.
#OpIndia
Атака на госресурсы Индии, инициированная известной группировкой Anonymous. Поводом послужила блокировка в стране ряда видеохостингов и файлообменных ресурсов и ужесточение борьбы с пиратством.
#Free_Palestine
Операция, организованная для привлечения внимания к войне между Израилем и Палестиной, а также к жертвам среди палестинцев.
#FreeAlaqsa
Атака, ставшая ответом на запрет властями Израиля посещения мечети аль-Акса в Иерусалиме. Причиной этого запрета стало покушение 29 октября 2014 года на израильского политика Иегуду Глика, выступавшего за возможность евреев, мусульман и христиан совместно молиться на Храмовой горе. Стрелявший в Глика был убит при задержании — это событие вызвало массовые беспорядки.
Анализируя совместные атаки и операции UICF, мы пришли к выводу, что группировка и ее участники имеют связь с более 60 группами хакеров по всему миру, большинство из которых являются происламистскими.

Большая часть совершенных UICF атак приходится на Deface (подмена или блокировка главной страницы сайта) или DDoS (отказ в обслуживании). Во время Deface-атак на взломанном сайте официальный контент, как в истории с ресурсом Квебекского блока, заменялся на происламские радикальные лозунги. Некоторые из них были связаны с ИГИЛ (Исламское государство — террористическая организация, официально запрещенная в России, — прим. ред.).

Кроме лозунгов, на этих страницах указывают названия операции, псевдонимы хакеров, которые провели атаку, и иногда даже их контакты. Это своеобразная «метка» хактивистов, официально берущих ответственность за акцию, наводка для журналистов и потенциальных последователей.

Поскольку основная цель хактивистов — привлечь максимум внимания к своим акциям, информацию об этих атаках активно распространяют в социальных сетях. Для этого почти у каждого из них есть множество профилей в Facebook, Twitter, Google+, а также на специализированных хакерских форумах.

Невысокий уровень технической подготовки, чувство безнаказанности и непомерные амбиции приводят к тому, что хактивисты не уделяют должного внимания своей безопасности, несмотря на различные инструкции по обеспечению анонимности, популярные в их среде. Group-IB как ведущая международная Threat Intelligence компания отслеживает атаки активистов, анализирует их, выстраивает связи между участниками и группами. Информация, публикуемая хактивистами, нам очень сильно помогает в расследованиях.
Дмитрий Волков
Руководитель отдела расследований и сервиса киберразведки Threat Intelligence, сооснователь Group-IB
Список участников группировки UICF
Дети киберполка
С помощью нашей системы раннего предупреждения киберугроз Threat Intelligence и методики анализа открытых источников Open Source Intelligence мы установили нескольких предполагаемых участников группы United Islamic Cyber Force из разных стран мира, чтобы показать, кто скрывается под маской хактивизма.
AnoaGhost
Местонахождение: Индонезия
Участник UICF, Indonesian Security, Secret Code Army и !nsp3ct0r Team.
Так, вероятно, выглядит хактивист с псевдонимом AnoaGhost. Фото из его личного профиля в Facebook

Проанализировав Deface-атаки, проведенные AnoaGhost, мы обнаружили адрес электронной почты cakrahacker@gmail.com — хактивист сам указал его на одном из взломанных сайтов.
Фрагмент Deface-страницы, оставленной злоумышленником на взломанном сайте, с указанием его контактных данных
По псевдониму, который был использован в адресе электронной почты — "cakrahacker", был обнаружен неактивный блог на платформе Blogspot http://cakrahacker.blogspot.com.

Упоминание этого блога было найдено в профиле социальной сети Facebook в записи от 6 августа 2011 года пользователя с именем Chaka B.

В этом профиле мы обнаружили записи, оставленные друзьями пользователя, которые называли его "cakra", что частично совпадает с именем пользователя в адресе электронной почты cakrahacker@gmail.com.

Также в профиле были обнаружены оставленные друзьями поздравления в честь дня рождения 10 марта. На основе полученной из профиля информации установлено вероятное имя хактивиста — Chaka B., а место жительства — город Бандунг, Индонезия. Судя по всему, он изучает информатику в Universitas Islam Negeri Sunan Gunung Djati Bandung.
Фотография из личного Facebook-профиля вероятного хактивиста, на которой можно без труда обнаружить его настоящее имя
Также на основе ника AnoaGhost, используемого в Deface-атаках, были найдены две страницы в социальной сети Facebook, на одной из которых были обнаружены упоминания другого ника, используемого хактивистом: ShiroTenshi.

На основе ника, найденного на одной из страниц в социальной сети Facebook был обнаружен сайт shiro-tenshi.ml, зарегистрированный в Нидерландах через организацию Freenom. Дополнительно были обнаружены еще аккаунты, принадлежащие хактивисту:

Снимок интерфейса программного обеспечения злоумышленника с псевдонимом AnoaGhost
Есть и еще одна интересная деталь. В своих атаках хактивист использовал программное обеспечение "AnoaGhost Shell File Manager v3.0", в тексте которого также упоминается сайт shiro-tenshi.ml.
Gunz_Berry
Местонахождение: Индонезия
Участник таких групп, как AnonCoders, Falllaga Team, Indonesian Code Party и Khilafah Cyber Army.
Так, вероятно, выглядит хактивист с псевдонимом Gunz_Berry. Фото из его личного профиля в Facebook.

Мы обнаружили адрес электронной почты gunz_berry@yahoo.com, используемый в качестве контакта при проведении Deface-атак.
Фрагмент Deface-страницы, оставленной на взломанном сайте — она содержит контактную информацию злоумышленника
Этот адрес электронной почты им был использован при регистрации на хостинге 000webhost.com с именем Guntur.

Кроме адреса электронной почты, хактивист зачастую оставлял в тексте Deface-страниц в качестве контактной информации ссылку на профиль в социальной сети Facebook: имя Guntur, указанное в профиле, совпадает с именем пользователя на хостинге 000webhost.com, также от имени данного пользователя есть посты с указанием ссылок на сайты-зеркала с взломанными сайтами.

На основе данной информации, можно установить настоящее имя. Это Guntur R. из Индонезии.
На основе псевдонима хактивиста был найден еще один профиль в социальной сети Facebook. Правда, сейчас он неактивен: https://www.facebook.com/gunz.berry.9.

Также хактивист владеет доменным именем gunz-berry.com, которое зарегистрировано в Индонезии.

Мы установили, что в своих атаках Gunz_Berry использует программное обеспечение "gunz_berry xh3LL Backd00r 1.0" — модификацию ПО "GaLers xh3LL Backd00r", распространяемого на андеграундных форумах индонезийских хакеров. Его автором является хакер с псевдонимом Mr. DellatioNx196. Это программное обеспечение используется в рамках Deface-атаки и служит для упрощения процесса загрузки страниц, и файлов на сервер, на котором расположен атакуемый сайт.
Снимок интерфейса программного обеспечения злоумышленника с псевдонимом gunz_berry
При восстановлении пароля Facebook-аккаунта (https://facebook.com/gunz.berry.9) была получена следующая информация: g*********i@y****.c*.id. Предположительно, почтовый сервис Yahoo! Индонезия в домене yahoo.co.id, что подтверждает факт его нахождения в Индонезии.
W3bh4x0r
Местонахождение: Нигерия
Участник таких групп, как: Nigeria Cyber Force, United Nigeria Cyber Force, Extreme Crew, Naija S3curity Kill3rs, Nigerian Gray Hat Hackers и Cyb3r Command0s.
Предполагаемая внешность хактивиста с псевдонимом W3bh4x0r, фото взято из его личного профиля в социальной сети Facebook.

На некоторых Deface-страницах, оставленных активистом на взломанных сайтах, был обнаружен адрес электронной почты a****************ri@gmail.com.
Фрагмент Deface-страницы, оставленной злоумышленником на взломанном сайте от имени группировки UICF

Также в качестве контактной информации на Deface-страницах хактивист оставлял ссылку на аккаунт в социальной сети Facebook https://www.facebook.com/web.haxor.

При попытке восстановления пароля к данному Facebook-аккаунту было установлено, что он зарегистрирован на адрес электронной почты o***********e@gmail.com и номер телефона +************36. Номер мобильного телефона совпадает с цифрами номера, к которому привязан адрес электронной почты a****************ri@gmail.com, что подтверждает связь между ними.

На этой странице были обнаружены реальные фотографии хактивиста и его имя. Имя пользователя, указанное в данном аккаунте — Habiblahi Adeleke B.— совпадает с именем пользователя почтового сервиса Gmail в адресе электронной почты a****************ri@gmail.com.
Таким образом можно сделать вывод, что возможное настоящее имя хактивиста Habiblahi Adeleke B. Место жительства — Нигерия.

Также был обнаружен аккаунт в сервисе SoundCloud. Найден блог http://nigeriacyberforce.blogspot.ru/, имеющий отношение к группировке United Nigeria Cyber Force. В этом блоге от имени пользователя с псевдонимом "adeleke b." опубликована статья с заголовком "wordpress 0day exploit Revslider».

Еще обнаружен аккаунт в социальной сети Google+ https://plus.google.com/105478645066963208223/posts и сайт www.mp3loaded.com.ng/, которым владеет хактивист.

По адресу электронной почты a************ri@gmail.com были обнаружены объявления на Нигерийском форуме nairaland.com от пользователя с ником Lekzy001, что совпадает с прозвищем, указанным на Facebook-странице https://www.facebook.com/web.haxor.

Также в данных объявлениях упоминался номер WhatsApp 07052547605 и сайт http://ictwebsitesolutions.com, на котором был обнаружен контактный телефон +2348164710636 (+234 телефонный код Нигерии) и Instagram https://www.instagram.com/lekzyone/, а также в качестве Facebook-страницы указан профиль https://www.facebook.com/web.haxor.

Найденный номер телефона +2348164710636 подходит для восстановления паролей от адресов электронной почты a************ri@gmail.com и его Facebook-аккаунту.
Lakhdar DZ
Местонахождение: Алжир
Участник группировки United Islamic Cyber Force, также принимал участие в деятельности группы Arab Warriors Team.
Предполагаемая внешность хактивиста с псевдонимом Lakhdar DZ.

На Deface-страницах, которые активист оставлял на взломанных сайтах, нашли адрес электронной почты Lakhdar46Dz@gmail.com, предположительно принадлежащий злоумышленнику. Также в качестве контактной информации он оставлял ссылку на профиль в социальной сети Facebook, который сейчас не активен https://www.facebook.com/lakhdar46dz.
Фрагмент Deface-страницы, оставленной злоумышленником на взломанном сайте, с указанием контактной информации
Аккаунты в социальных сетях были получены на основе поиска по псевдониму, используемому хактивистом:

В профиле Facebook были указаны следующие данные: аккаунт в сервисе Skype lakhdar.222 и аккаунт в сервисе Twitter https://twitter.com/LakhdarX33, а также реальные фотографии злоумышленника.

На основе данных из социальных сетей получена следующая информация о предполагаемом хактивисте — это 21-летний Lakhar B. из Алжира, город Сиди-Бель-Аббес.
С этим хактивистом связана работа нескольких веб-сайтов. На указанный почтовый адрес lakhdar46dz@gmail.com зарегистрированы два доменных имени:

  • news-ar.com
  • geek-ar.com
В аккаунтах Twitter, Facebook и Skype были обнаружены следующие веб-сайты данного хактивиста, доменные имена зарегистрированы на подставные данные:

  • http://lakhdar-dz.info
  • http://lakhdar-dz.net


При восстановлении Facebook-аккаунта (https://www.facebook.com/lakhdar.22dz) была получена следующая информация: l********z@a**.com (предположительно, почтовый сервис AOL).

При восстановлении пароля к Twitter-аккаунту (https://twitter.com/lakhdarX33) была получена следующая информация: la*********@l***.** (предположительно, почтовый сервис от Mail.Ru в домене list.ru).
Zishan Rider
Местонахождение: Индия
Участник групп: Anonymous Afghanistan, Anonymous Laayoune, Anti-Sec Cyber Crew и IndianCyb3rDevils, а также движения FreePalestine.
Предполагаемая внешность хактивиста с псевдонимом Zishan Rider.

На основе псевдонима Zishan Rider, используемого злоумышленником, были обнаружены следующие профили в социальных сетях:

Также на Deface-страницах, которые хактивист оставлял на взломанных сайтах, были обнаружены несколько адресов электронной почты для контакта с ним: zishanrider@cyberdude.com и zishanrider@mail.com.
Фрагмент Deface-страницы, оставленной злоумышленником на взломанном сайте, с упоминанием его контактного адреса электронной почты
В Twitter-аккаунте, найденном на основе псевдонима хактивиста, был обнаружен сайт-блог, который он вел на принадлежавшем ему домене zishanrider.com, а тот был зарегистрирован на адрес электронной почты zishanrider@yahoo.com, имя Zishan Rider, адрес Delhi 110001 India, а также номер мобильного телефона +91.97*****100 (код +91 соответствует Индии).

На основе полученных данных, мы установили его настоящее имя — Zishan S. Место жительства активиста - Дели, Индия.

При восстановлении пароля в почтовом сервисе Yahoo! для указанного ранее почтового аккаунта была получена маска запасного почтового аккаунта в сервисе Gmail: z**********58@gmail.com.

При восстановлении пароля Twitter-аккаунта была получена следующая маска адреса электронной почты хактивиста: zi************@gmail.com.

В своих атаках использует регулярные упоминания радикального ислама, выступает за его распространение. При этом не стесняется использовать в Deface-страницах фотографии с изображением Адольфа Гитлера.
Скрытая угроза
Судя по профайлам хактивистов из United Islamic Cyber Force все они мало похожи на профессиональных киберпреступников, совершающих нападения на банки, госучреждения или объекты стратегической инфраструктуры. Это вчерашние школьники и студенты, с ограниченным жизненным опытом, легко поддающиеся чужому влиянию. Их цель — не кража денег, а публичность — освещение их акций мировыми СМИ.
Пока хактивисты не представляют реальных угроз для компаний, которые серьезно занимаются своей безопасностью. Но списывать со счетов их не стоит. Риск в том, что от DDoS или взломов сайтов хактивисты могут перейти к атакам на инфраструктуру, используя все более мощное цифровое оружие.
Дмитрий Волков
Руководитель отдела расследований и сервиса киберразведки Threat Intelligence, сооснователь Group-IB
Как не стать жертвой хактивистов:
1
Провести аудит web-ресурса и тесты на проникновение (пентесты)
Необходимо провести тщательную инвентаризацию всей своей IT-инфраструктуры. Особое внимание стоит обратить на защищенность веб-ресурсов (86% веб-ресурсов содержат как минимум одну критическую уязвимость); сетевую инфраструктуру компании: публичный Wi-Fi с доступом в корпоративные сегменты, облако, в котором хранится доступная для сотрудников информация; незащищенные резервные копии.
2
Подписаться на Threat Intelligence
Threat Intelligence — система сбора, мониторинга и анализа информации об актуальных угрозах, преступных группах, их тактике, инструментах. Информация от Threat Intelligence компаний позволяет отслеживать деятельность хактивистов, чтобы при необходимости успеть их вовремя нейтрализовать.
3
Защититься от DDoS-атак
DDoS-атака (отказ в обслуживании из-за перегрузки системы из-за огромного количества запросов) грозит компаниям финансовыми потерями и репутационным ущербом. Рекомендуем воспользоваться услугами специализированных компаний, позволяющих проактивно защищать сайты даже от самых сложных и комплексных DDoS-атак.
4
Подключить WAF (WEB Application Firewall)
В любом коде серьезного приложения возможны ошибки. Хакеры используют их, чтобы получить несанкционированный доступ к данным владельцев и пользователей сайта. Необходимо не только своевременно обнаружить и блокировать атаки на приложение, но и устранить возможность эксплуатации уязвимостей.