自2013年以來，世界各國政府的許多官方網(wǎng)站都遭到了黑客的攻擊和攻擊，攻擊者自稱是“VandaTheGod”。

黑客的目標(biāo)是許多國家的政府，包括:巴西、多米尼加共和國、特立尼達(dá)和多巴哥、阿根廷、泰國、越南和新西蘭。這些被攻擊的網(wǎng)站上留下的許多信息暗示，攻擊是出于反政府情緒的動(dòng)機(jī)，是為了打擊社會(huì)不公，黑客認(rèn)為這些不公是政府腐敗的直接結(jié)果。

盡管網(wǎng)站的丑化給了VandaTheGod很多關(guān)注，但攻擊者的活動(dòng)不僅限于此，還包括竊取信用卡信息和泄露敏感的個(gè)人信息。

然而，通過仔細(xì)研究這些攻擊，我們能夠繪制出VandaTheGod多年來的活動(dòng)圖，并最終發(fā)現(xiàn)攻擊者的真實(shí)身份。

被VandaTheGod攻擊的網(wǎng)站

高調(diào)的社交媒體活動(dòng)

這個(gè)“VandaTheGod”角色背后的組織過去曾使用了多個(gè)別名，比如“Vanda de Assis”或“SH1N1NG4M3”，并且在社交媒體(尤其是Twitter)上非?；钴S。他們通常會(huì)與公眾分享這些黑客努力的結(jié)果：

遭到攻擊的巴西政府網(wǎng)站，如攻擊者的Twitter feed所示

有時(shí)甚至?xí)⒋薚witter帳戶的鏈接添加到VandaTheGod在受感染網(wǎng)站上留下的消息中，從而確認(rèn)此配置文件確實(shí)由攻擊者管理。

描述VandaTheGod的Twitter帳戶的受感染網(wǎng)站

這個(gè)賬號(hào)里的很多推文都是用葡萄牙語寫的，此外，攻擊者聲稱自己是“巴西網(wǎng)絡(luò)軍隊(duì)”或“BCA”的一部分，經(jīng)常在被盜賬戶和網(wǎng)站的截圖中顯示BCA的標(biāo)識(shí)。

VandaTheGod與“巴西網(wǎng)絡(luò)軍隊(duì)”的關(guān)系

是社會(huì)極端主義還是黑客行為?

VandaTheGod不僅攻擊政府網(wǎng)站，還攻擊公眾人物、大學(xué)、甚至醫(yī)院。在其中一起案件中，攻擊者聲稱可以獲得100萬名新西蘭患者的醫(yī)療記錄，這些記錄以200美元的價(jià)格出售。

VandaTheGod聲稱可以訪問新西蘭基層衛(wèi)生組織的數(shù)據(jù)

盡管公開的黑客活動(dòng)報(bào)道有時(shí)可能阻止攻擊者追捕新目標(biāo)，但令人奇怪的是，此人似乎很受關(guān)注，并且經(jīng)常對(duì)有關(guān)VandaTheGod成就的報(bào)道感到自豪。他們甚至將一些媒體報(bào)道視頻上傳到VandaTheGod YouTube頻道。

攻擊者自我吹噓的媒體報(bào)道

大多數(shù)VandaTheGod對(duì)政府的攻擊都是出于政治動(dòng)機(jī)，但仔細(xì)查看一些推特，就會(huì)發(fā)現(xiàn)攻擊者也在試圖把個(gè)人作為攻擊目標(biāo)：總共入侵5000個(gè)網(wǎng)站。

VandaTheGod宣布的5000個(gè)網(wǎng)站被黑的目標(biāo)

根據(jù)zone-h記錄(一個(gè)記錄惡意網(wǎng)站事件的服務(wù))，這個(gè)目標(biāo)幾乎達(dá)到了，因?yàn)槟壳坝?820個(gè)與VandaTheGod有關(guān)的被黑網(wǎng)站記錄。盡管這些網(wǎng)站中的大多數(shù)都是通過大規(guī)模掃描互聯(lián)網(wǎng)上的已知漏洞而被黑客入侵的，但列表中還包括眾多政府和學(xué)術(shù)網(wǎng)站，VandaTheGod似乎是故意選擇的。

在Zone-H中被入侵的記錄

VandaTheGod的隱藏術(shù)

VandaTheGod在多個(gè)黑客團(tuán)體中的主要作用以及對(duì)公眾的熱愛，意味著他們通過眾多的社交媒體帳戶，備用帳戶(如被刪除)，電子郵件地址，網(wǎng)站等等，與黑客社區(qū)中的其他人保持聯(lián)系。多年來，這個(gè)活動(dòng)留下了大量的信息，這些信息為我們的研究提供了幫助。

VandaTheGod宣傳的電子郵件聯(lián)系信息

例如，VandaTheGod[.]com的WHOIS記錄顯示，該網(wǎng)站是由一個(gè)來自巴西的人注冊(cè)的，更確切地說，是來自Uberlandia，使用的是電子郵件地址fathernazi@gmail[.]com。碰巧的是，過去VandaTheGod聲稱自己是UGNazi黑客組織的成員。

VandaTheGod[.]com WHOIS信息

這個(gè)電子郵件地址被用來注冊(cè)其他網(wǎng)站，如braziliancyberarmy[.]com：

由fathernazi@gmail.com注冊(cè)的其他域

然而，這并不是唯一一個(gè)由VandaTheGod在網(wǎng)上分享的關(guān)于攻擊者身份的有價(jià)值的信息。例如，下面的截圖顯示了巴西女演員兼電視節(jié)目主持人米里安·里奧斯被泄露的電子郵件賬戶：

米里安·里奧斯在VandaTheGod的Twitter feed上的受感染帳戶的屏幕截圖

然而，這張截圖也顯示了一個(gè)名為“Vanda De Assis”的Facebook選項(xiàng)卡，查找這個(gè)名字后，我們找到了一個(gè)屬于攻擊者的個(gè)人資料：

Vanda De Assis的Facebook賬號(hào)

在對(duì)iOS數(shù)字取證和事件響應(yīng)(DFIR)進(jìn)行例行調(diào)查之后，研究人員發(fā)現(xiàn)了一些可疑事件，這些事件早在2018年1月就影響了iOS上的默認(rèn)郵件應(yīng)用程序。研究人員分析了這些事件，發(fā)現(xiàn)了一個(gè)影響蘋果iphone和ipad的可利用漏洞。ZecOps在很長一段時(shí)間內(nèi)，在企業(yè)用戶、vip和mssp上檢測(cè)到該漏洞的多個(gè)觸發(fā)器。

該漏洞的攻擊范圍包括向受害者的郵箱發(fā)送自定義電子郵件，使其能夠在iOS 12上的iOS MobileMail應(yīng)用程序或在iOS 13上發(fā)送的郵件中觸發(fā)該漏洞。

幾乎沒有可疑事件包括黑客通常使用的字符串(例如414141…4141)，經(jīng)過確認(rèn)，我們驗(yàn)證了這些字符串是由電子郵件發(fā)送者提供的。值得注意的是，盡管有證據(jù)顯示證實(shí)了受攻擊者的電子郵件是由受害者的iOS設(shè)備接收和處理的，但本應(yīng)接收并存儲(chǔ)在郵件服務(wù)器上的相應(yīng)電子郵件卻丟失了。因此，我們推斷這些電子郵件可能已被有意刪除。

我們知道從2018年1月開始在iOS 11.2.2上發(fā)生了多個(gè)觸發(fā)事件，當(dāng)前，攻擊者可能正在濫用這些漏洞，詳情請(qǐng)點(diǎn)此。在研究觸發(fā)這些漏洞的過程中，我們已經(jīng)看到一些可疑受害者之間的相似之處。

受影響的版本：1.所有經(jīng)過測(cè)試的iOS版本都容易受到攻擊，包括iOS 13.4.1;2.根據(jù)我們的發(fā)現(xiàn)，這些漏洞都是在iOS 11.2.2或更高版本上主動(dòng)觸發(fā)的;3.iOS 6及更高版本容易受到攻擊，iOS 6于2012年發(fā)布，iOS6之前的版本可能也會(huì)受到攻擊，但我們尚未檢查較早的版本。因?yàn)樵趇OS 6發(fā)行時(shí)，iPhone 5已上市。

研究人員發(fā)現(xiàn)，MIME庫中MFMutableData的實(shí)現(xiàn)缺少對(duì)系統(tǒng)調(diào)用ftruncate()的漏洞檢查，該漏洞導(dǎo)致越界寫入。我們還找到了一種無需等待系統(tǒng)調(diào)用ftruncate失敗即可觸發(fā)OOB-Write的方法。此外，我們發(fā)現(xiàn)了可以遠(yuǎn)程觸發(fā)的堆溢出。眾所周知，這兩種漏洞都是可以遠(yuǎn)程觸發(fā)的。OOB寫入漏洞和堆溢出漏洞都是由于相同的漏洞而引發(fā)的，即未正確處理系統(tǒng)調(diào)用的返回值。遠(yuǎn)程漏洞可以在處理下載的電子郵件時(shí)觸發(fā)，在這種情況下，電子郵件將無法完全下載到設(shè)備上。

受影響的庫：/System/Library/PrivateFrameworks/MIME.framework/MIME;易受攻擊的函數(shù)：-[MFMutableData appendBytes:length:]。利用漏洞后的異常行為，除了手機(jī)郵件應(yīng)用暫時(shí)放緩?fù)?，用戶觀察不到任何其他異常行為。在iOS 12上嘗試?yán)寐┒?成功/失敗)之后，用戶只會(huì)注意到郵件應(yīng)用程序突然崩潰。在iOS13上，除了暫時(shí)的速度下降之外，這不會(huì)引起注意。如果隨后進(jìn)行另一次攻擊并刪除電子郵件，則失敗的攻擊在iOS 13上不會(huì)明顯。

在失敗的攻擊中，攻擊者發(fā)送的電子郵件將顯示消息：“此消息無內(nèi)容。”崩潰取證分析，用戶經(jīng)歷的部分崩潰(多次崩潰中的一部分)如下;崩潰的指令是stnp x8，x9，[x3]，這意味著x8和x9的值已被寫入x3并由于訪問存儲(chǔ)在x3中的無效地址0x000000013aa1c000而崩潰。為了找出導(dǎo)致進(jìn)程崩潰的原因，我們需要看一下MFMutableData的實(shí)現(xiàn)。下面的調(diào)用樹是從崩潰日志中提取的，只有選定的一些設(shè)備才會(huì)發(fā)生崩潰。通過分析MIME庫，-[MFMutableData appendBytes:length:]的偽代碼如下：在崩潰發(fā)生之前執(zhí)行以下調(diào)用堆棧：如果數(shù)據(jù)大小達(dá)到閾值，則使用文件存儲(chǔ)實(shí)際數(shù)據(jù)，當(dāng)數(shù)據(jù)更改時(shí)，應(yīng)相應(yīng)更改映射文件的內(nèi)容和大小，系統(tǒng)調(diào)用ftruncate()被inside -[MFMutableData _flushToDisk:capacity:]調(diào)用以調(diào)整映射文件的大小。ftruncate的幫助文檔是這樣說明的：如上所示，如果調(diào)用失敗，則返回-1，并且全局變量errno指定漏洞。這意味著在某些情況下，此系統(tǒng)調(diào)用將無法截?cái)辔募⒎祷芈┒创a。但是，在ftruncate系統(tǒng)調(diào)用失敗時(shí)，_flushToDisk無論如何都會(huì)繼續(xù)，這意味著映射的文件大小不會(huì)擴(kuò)展，執(zhí)行最終會(huì)到達(dá)appendBytes()函數(shù)中的memmove()，從而導(dǎo)致mmap文件出現(xiàn)超出邊界(OOB)的寫入。

盡管此配置文件沒有共享有關(guān)VandaTheGod真實(shí)身份的任何詳細(xì)信息，但我們能夠看到此名稱與攻擊者操作的Twitter帳戶之間有許多相似之處，因?yàn)樵趦蓚€(gè)平臺(tái)上經(jīng)常共享相同的內(nèi)容：

在VandaTheGod的Twitter帳戶上的黑客活動(dòng)圖片

在Vanda de Assis的Facebook帳戶上的黑客行為完全相同

然而，更有趣的是，上面的截屏顯示了一個(gè)用戶的名字，我們將在這里僅通過首字母M. R.來識(shí)別。

VandaTheGod的電腦截圖，顯示了可能的身份

起初，我們不確定M. R.是否是VandaTheGod的真實(shí)姓名首字母，但我們認(rèn)為值得調(diào)查，因?yàn)閹в羞@些首字母的名字也出現(xiàn)在VandaTheGod的Twitter上的一些截圖中，作為用于此黑客活動(dòng)的計(jì)算機(jī)的用戶名。

起初，我們嘗試在Facebook上搜索名為M.R.的人，但這并不可能成功。

當(dāng)我們與之前在vandathegod.com的WHOIS信息：“UBERLANDIA”中觀察到的城市一起搜索M.R.時(shí)，便是我們的突破。

這仍然給了我們?cè)S多Facebook個(gè)人資料，但是我們能夠找到一個(gè)帳戶，其中包含認(rèn)可巴西網(wǎng)絡(luò)軍的上載圖像。

VandaTheGod的電腦截圖，顯示了可能的身份

現(xiàn)在，我們所要做的就是把這個(gè)人的賬號(hào)和我們所知道的凡達(dá)神的賬號(hào)聯(lián)系起來。

我們?cè)谛掳l(fā)現(xiàn)的個(gè)人資料和Vanda de Assis的Facebook賬戶之間找到了幾篇重疊文章。

[[328736]]

M.R.的Facebook個(gè)人資料上的資料

在Vanda de Assis的Facebook個(gè)人資料中，有一模一樣的圖片

最后，我們從不同角度(即海報(bào)的客廳)以不同的角度找到了共享的環(huán)境照片。這證實(shí)了M.R.和VandaTheGod帳戶均由同一個(gè)人控制。

VandaTheGod推特賬戶上的客廳視圖

MR的Facebook帳戶上的同一客廳視圖

隨后，研究者將這些發(fā)現(xiàn)報(bào)告給相關(guān)執(zhí)法部門。不過截止發(fā)稿時(shí)，所有詳細(xì)的社交媒體資料仍然存在，但攻擊者個(gè)人資料中與VandaTheGod別名共享的部分重疊的許多照片后來都被刪除了。此外，到2019年底，這些個(gè)人資料上的活動(dòng)停止了，從那以后，此人就沒有發(fā)布過任何更新。

結(jié)論

自2013年以來，VandaTheGod的黑客活動(dòng)一直針對(duì)政府、公司和個(gè)人。他們攻擊政府網(wǎng)站，出售公司信息，并在網(wǎng)上泄漏許多個(gè)人信用卡信息。

盡管許多人往往低估了攻擊性黑客組織，但VandaTheGod已經(jīng)成功地對(duì)知名網(wǎng)站進(jìn)行了多次攻擊，事實(shí)證明，黑客經(jīng)常伴隨著犯罪活動(dòng)，例如盜竊個(gè)人賬號(hào)的資金和銀行的存款，甚至是與更廣泛的網(wǎng)絡(luò)犯罪社區(qū)共享他們的攻擊和技術(shù)。

VandaTheGod成功進(jìn)行了許多黑客攻擊，但最終卻因?yàn)樽约旱恼袚u，他留下了許多線索，從而暴露了自己的真實(shí)身份，尤其是在他的黑客職業(yè)生涯初期。最終，我們能夠確定VandaTheGod就是一個(gè)巴西人。