自2013年以来,全球多个政府官方网站都遭到黑客攻击和攻击。袭击者自称是“VandaTheGod”。黑客针对许多国家的政府,包括:巴西、多米尼加共和国、特立尼达和多巴哥、阿根廷、泰国、越南和新西兰。被黑网站上留下的许多消息表明,这些攻击是出于反政府情绪,是为了打击黑客认为由政府腐败直接导致的社会不公正现象。虽然该网站的污损引起了VandaTheGod的广泛关注,但攻击者的活动还不止于窃取信用卡信息和泄露敏感的个人信息。然而,通过仔细研究这些攻击,我们能够绘制出VandaTheGod多年来的活动图,并最终发现攻击者的真实身份。受VandaTheGod攻击的网站上的高调社交媒体活动“VandaTheGod”角色背后的组织过去曾使用过多个别名,例如“VandadeAssis”或“SH1N1NG4M3”,并且在社交媒体上非常活跃,尤其是Twitter.他们经常与公众分享这些黑客攻击的结果:攻击巴西政府网站,如攻击者的Twitter提要所示,有时甚至将指向此Twitter帐户的链接添加到VandaTheGod留在受感染网站上的消息中,确认此配置文件确实由攻击者管理。描述VandaTheGod推特账户的受感染网站该账户中的许多推文都是用葡萄牙语写的。此外,攻击者声称自己是“巴西网络军”或“BCA”的一部分,并且经常在被盗账户和网站上张贴BCA标志,如屏幕截图所示。VandaTheGod与“巴西网络军”的关系是社会极端主义还是黑客行为?VandaTheGod不仅攻击政府网站,还攻击公众人物、大学,甚至医院。在一个案例中,攻击者声称可以访问100万新西兰患者的医疗记录,并以200美元的价格出售。VandaTheGod声称可以访问新西兰基层卫生组织的数据虽然有关黑客活动的公开报告有时可以阻止攻击者追捕新目标,但个人似乎很奇怪地处于聚光灯下,并且常常为VandaTheGod的成就报道感到自豪。他们甚至将一些媒体报道视频上传到VandaTheGodYouTube频道。攻击者自我吹嘘的媒体报道称,VandaTheGod对政府的大部分攻击都是出于政治动机,但仔细观察一些推文就会发现,攻击者还试图以个人为目标:总共攻击了5,000个网站。VandaTheGod公布的被黑网站数量达到5000个的目标根据zone-hrecords(一种记录恶意网站事件的服务),这一目标已经基本实现,目前有4820个与VandaTheGod相关的被黑网站记录。虽然这些网站中的大多数都是通过大规模扫描互联网以查找已知漏洞而被黑客入侵的,但该列表还包括许多政府和学术网站,VandaTheGod似乎是故意选择的。记录在H区被黑VandaTheGod的隐身技术VandaTheGod在多个黑客团体中的主要角色和对公众的奉献意味着他们通过许多社交媒体帐户、备用帐户(如果已删除)、电子邮件地址、网站等保持联系与黑客社区中的其他人。多年来,这项活动留下了大量有助于我们研究的信息。VandaTheGod宣传的电子邮件联系信息例如,VandaTheGod[.]com的WHOIS记录显示该网站是由巴西人注册的,更具体地说,来自Uberlandia,使用电子邮件地址fathernazi@gmail[.]com。碰巧的是,过去VandaTheGod声称自己是UGNazi黑客组织的成员。VandaTheGod[.]comWHOIS信息此电子邮件地址用于注册其他网站,例如braziliancyberarmy[.]com:由fathernazi@gmail.com注册的其他域然而,这并不是VandaTheGod在网上分享的唯一有关攻击的有价值信息关于收件人的身份。例如,下面的屏幕截图显示了巴西女演员兼电视主持人米里亚姆里奥斯(MiriamRios)被入侵的电子邮件帐户:根据这个名字,我们发现了属于攻击者的个人资料:VandaDeAssis在iOS数字取证和事件响应(DFIR)中的Facebook帐户经过例行调查,研究人员发现早在2018年1月就影响了iOS上默认邮件应用程序的可疑事件。研究人员分析了这些事件并发现了一个影响AppleiPhone和iPad的可利用漏洞。ZecOps在很长一段时间内在企业用户、VIP和MSSP上检测到此漏洞的多个触发器。漏洞利用范围从向受害者的邮箱发送自定义电子邮件,使其能够触发iOS12上的iOSMobileMail应用程序或iOS13上发送的邮件中的漏洞。很少有可疑事件包括黑客常用的字符串(例如414141…4141),经确认,我们验证了这些字符串是由电子邮件发件人提供的。值得注意的是,虽然有证据证实受害人的iOS设备接收并处理了受害人的邮件,但邮件服务器上本应接收并存储的对应邮件却丢失了。因此,我们推断这些电子邮件可能已被故意删除。我们知道从2018年1月开始的iOS11.2.2上有多个触发事件。目前,攻击者可能正在滥用这些漏洞。欲了解更多信息,请点击此处。在我们对触发这些漏洞的研究中,我们发现了一些疑似受害者之间的相似之处。受影响的版本:1、所有测试过的iOS版本均存在漏洞,包括iOS13.4.1;2、根据我们的调查结果,这些漏洞在iOS11.2.2或更高版本上被主动触发;3..iOS6及以上版本易受攻击。iOS6于2012年发布。iOS6之前的版本也可能存在漏洞,但我们尚未检查更早的版本。因为在iOS6发布的时候,iPhone5已经上市了。研究人员发现,MIME库中MFMutableData的实现缺少对导致越界写入的系统调用ftruncate()的漏洞检查。我们还找到了一种无需等待系统调用ftruncate失败即可触发OOB-Write的方法。此外,我们还发现了一个可以远程触发的堆溢出。已知这两个漏洞都可以远程触发。OOB写漏洞和堆溢出漏洞都是由同一个漏洞引起的,即没有正确处理系统调用的返回值。远程漏洞可以在处理下载的电子邮件时触发,在这种情况下,电子邮件不会完全下载到设备。受影响的库:/System/Library/PrivateFrameworks/MIME.framework/MIME;易受攻击的函数:-[MFMutableDataappendBytes:length:]。利用该漏洞后的异常行为,除了移动邮件应用程序暂时变慢外,用户无法观察到任何其他异常行为。在iOS12上尝试利用漏洞(成功/失败)后,用户只会注意到邮件应用程序突然崩溃。在iOS13上,除了暂时的减速外,这并不明显。如果随后执行另一次攻击并删除电子邮件,则失败的攻击在iOS13上将不会被注意到。在失败的攻击中,攻击者发送的电子邮件将显示消息:“此消息没有内容。”崩溃取证分析,用户体验到的部分崩溃(多次崩溃的一部分)如下;crash的指令是stnpx8,x9,[x3],意思是x8和x9的值已经写入x3,由于访问x3中存储的无效地址0x000000013aa1c000而崩溃。要找出导致进程崩溃的原因,我们需要查看MFMutableData的实现。下面的调用树是从崩溃日志中提取的,崩溃仅发生在某些选定的设备上。通过分析MIME库,-[MFMutableDataappendBytes:length:]的伪代码如下:崩溃前执行如下调用栈:如果数据大小达到阈值,使用文件存储实际数据,当数据改变,映射文件的内容和大小也相应改变,系统调用ftruncate()在-[MFMutableData_flushToDisk:capacity:]里面调用来调整映射文件的大小。ftruncate的帮助文档是这样解释的:如上所示,调用失败返回-1,全局变量errno指定漏洞。这意味着在某些情况下,此系统调用将无法截断文件并返回易受攻击的代码。但是,当ftruncate系统调用失败时,_flushToDisk无论如何都会继续,这意味着映射的文件大小不会扩大,执行最终会到达appendBytes()函数中的memmove(),导致mmap文件出现越界(OOB)写。尽管此配置文件没有透露有关VandaTheGod真实身份的任何详细信息,但我们能够看到此名称与攻击者操作的Twitter帐户之间有许多相似之处,因为两个平台上经常共享相同的内容:VandaTheGod的Twitter帐户上的黑客是与VandadeAssis的Facebook帐户遭到黑客攻击相同。然而,更有趣的是上面显示用户名的屏幕截图,我们将在此处仅通过首字母M.R.来识别。显示可能身份的VandaTheGod的计算机屏幕截图起初我们不确定M.R.是否是VandaTheGod的真实首字母,但我们认为值得调查,因为带有这些首字母的名字也出现在VandaTheGod的Twitter上的一些屏幕截图中,作为计算机的用户名用于此黑客攻击。起初,我们尝试在Facebook上搜索一个名叫M.R.的人,但这不太可能奏效。当我们搜索M.R.以及我们之前在vandathegod.com的WHOIS信息中观察到的城市时,我们的突破来了:“UBERLANDIA”。这仍然为我们提供了一些Facebook个人资料,但我们能够找到一个帐户,其中包含一张支持巴西网络军队的上传图片。显示可能身份的VandaTheGod的计算机屏幕截图现在我们所要做的就是将此人的帐户与我们所知道的有关VandaTheGod的帐户相关联。我们在新发现的个人资料和VandadeAssis的Facebook帐户之间发现了几篇重叠的文章。M.R.的Facebook个人资料中的个人资料与VandadeAssis的Facebook个人资料中的图片完全相同。最后,我们找到了共享的不同角度的环境照片(即发帖人的客厅)。这证实了M.R.和VandaTheGod账户均由同一个人控制。VandaTheGod的Twitter帐户上的客厅视图MR的Facebook帐户上的相同客厅视图研究人员随后将调查结果报告给了相关执法部门。截至发稿时,所有详细的社交媒体资料都保留了下来,但攻击者资料中与VandaTheGod别名共享的照片重叠的许多照片已被删除。此外,这些个人资料的活动在2019年底停止,此后此人没有发布任何更新。结论自2013年以来,VandaTheGod的黑客活动一直以政府、企业和个人为目标。他们侵入政府网站,出售公司信息,并在线泄露许多个人信用卡详细信息。尽管很多人容易低估攻击性黑客组织,但VandaTheGod已经成功地对知名网站进行了多次攻击。事实证明,黑客攻击往往伴随着犯罪活动,例如盗窃个人账户和银行存款中的资金,甚至与更广泛的网络犯罪社区分享他们的攻击和技术。VandaTheGod曾做过多次成功的黑客攻击,但最终因为他的招摇,留下了很多线索,从而暴露了他的真实身份,尤其是在他黑客生涯的初期。最终,我们能够确定VandaTheGod是巴西人。
