СБУ начало следить за русскими блогерами

Понедельник, 11 августа 2014 г.

Постучался некто, представившийся "читателем моего блога", и предоставил следующую информацию.
Я исправил только множественные ошибки по тексту и сделал html-оформление для некоторых элементов; остальное все публикуется "as is" ("как есть"):

На этой неделе в сети появилась информация о методах СБУ в украинском сегменте интернета, почитайте:

http://gmichailov.livejournal.com/661962.html	Копия: https://archive.today/c02ot
http://cassad.net/analytics/341-prodelki-sbu-2.html	Копия: https://archive.today/uF1Ox
http://voicesevas.ru/news/yugo-vostok/3548-prodelki-sbu-3.html	Копия: https://archive.today/MEs8u

Скорее всего последовательность событий была такая:

• публикуется блог об отслеживании в соц.сетях
• кто-то интересуется этой записью, настолько, что ему удалось взломать е-mail владельца
• публикуются две других блогозаписи.

Я решил разобраться в технической стороне вопроса.

Итак, у нас есть информация о том, что с сервера с IP-адресом 159.253.0.45 осуществляется атака на пользователей украинского интернета.
Этот IP-адрес принадлежит хостинговой компании axc.nl, на нем размещены тысячи сайтов.

Заходим сюда: http://bgp.he.net/net/159.253.0.0/24#_dns

Вычленяем подозрительные домены:

Домен	Дата регистрации	Email из whois	Описание
1tvonline.org	May 28, 2014	[email protected]	Логирует IP-адреса, User-Agent, Referer и перенаправляет на легальную странцу
lifenews.co	May 28, 2014	[email protected]	Логирует IP-адреса, User-Agent, Referer и перенаправляет на легальную странцу
rtr-planeta.net	May 28, 2014	[email protected]	Логирует IP-адреса, User-Agent, Referer и перенаправляет на легальную странцу
russia-today.org	May 28, 2014	[email protected]	Логирует IP-адреса, User-Agent, Referer и перенаправляет на легальную странцу
special-news.info	April 01, 2014	[email protected]	Логирует IP-адреса, User-Agent, Referer и перенаправляет на легальную странцу
lenta-ru.info	April 01, 2014	[email protected]	Логирует IP-адреса, User-Agent, Referer и перенаправляет на легальную странцу
newsukr.info	April 01, 2014	[email protected]	Логирует IP-адреса, User-Agent, Referer и перенаправляет на легальную странцу
user6679969.info	April 01, 2014	[email protected]	?
id6679969.info	April 01, 2014	[email protected]	Анонимная отправка email, с подменой адреса отправителя. Копия: https://archive.today/5XfTV
mail-log.info	April 16, 2014	[email protected]	Фишинговая страница для Facebook. Копия: https://archive.today/iUoUe
m-vk.co	April 29, 2014	[email protected]	Фишинговая страница для VK. Копия: https://archive.today/Avaio
mail-log.in	April 16, 2014	[email protected]	?

Было обнаружено еще несколько доменов, зарегистрированных на [email protected], но, возможно, они к этому делу никакого отношения не имеют:
id1807711.info, user3519688.info, i_________8.info, i_________6.info (Для последних двух известны только первый и последний символы)

Пароль к ящику [email protected] лежит в открытом доступе в интеренете. Возможно, так им и воспользовались для регистрации доменов.

На первых 7 доменах размещен такой скрипт:
https://gist.github.com/anonymous/f50e0709b98d8b473a83

Скрипт получения текущих IP-адресов взят отсюда: https://github.com/natevw/ipcalf/blob/master/_attachments/network_ip.html

Другая часть скрипта пытается определить внутренний IP-адрес, текущий IP-адрес, User-Agent, Referer, дату:
type: "POST",
url: "index.php",
data: "action=insert_db&ioi=&ip=111.222.333.444&date=2014-08-08 10:10:10&usag=Mozilla/5.0 (Windows NT 6.1; rv:31.0) Gecko/20100101 Firefox/31.0&inip="+displayAddrs+"&ref=",

"action=insert_db" как бы намекает нам о том, что данные записываются в базу данных.

А теперь нетехническая часть.

Некоторые читатели с недоумением восприняли блог-пост, сообщающий о том, что за этой атакой стоит СБУ.

Давайте рассмотрим такой сценарий, что за этой атакой стоит некий украинский хакер-патриот.
Все, что можно извлечь из этого - это IP-адрес. Зачем хакеру-патриоту информация об IP-адресах?

Если же рассмотреть теорию с СБУ, то все встает на свои места. Очевиден такой сценарий:

1. В социальные сети вбрасываются ссылки с этим 7 доменами
2. Собираются IP-адреса посетителей
3. Пользователям с найдеными IP-адресами вставляется фишинговая страница вконтакте и facebook.
4. Изучается переписка пользователя, на него составлятся профайл.

Еще одним интересным пунктом в этой истории является использование вредоносного ПО.
Если бы блогеры опубликовали найденные файлы, было бы возможно расследовать данный инцидент более глубоко.

Пример поста: http://vk.com/wall-66845890_468
Копия: https://archive.today/j8sMv

Пример поста: https://twitter.com/verzev1/statuses/494057124389875713
Копия: https://archive.today/dQJff
Закрываем все вопросы СБУ-не-СБУ (доказывает версию про СБУ):

Посмотрите на твит-реплаи, которые идут с этого Twitter-аккаунта: https://twitter.com/verzev1/with_replies (Копия: https://archive.today/MYKPc)
Человек целенаправленно рассылает каждому нелояльному пользователю ссылку вида "http://rtr-planeta.net/?ioi=XXXX&u=17".
Обратите внимание что параметр ioi в ссылке отличается для каждого пользователя.
Видимо, именно так потом находят соответствие "аккаунт в соц.сети = IP в Базе данных"

Ну, а теперь самое интересное:
Оригинал: https://twitter.com/verzev1/status/491847861425152001
Копия: https://archive.today/bR9id

Оригинал: https://twitter.com/verzev1/status/491847308586532864
Копия: https://archive.today/HLrLJ

В этих двух твиттах он обращается к автору блога http://ukraineatwar.blogspot.ru/
с просьбой поделиться некими изображениями, которые будут использоваться в качестве доказательств.
Эпичная цитата:
"I am a member of the Security Service of Ukraine. Need will take off your (or your source images as evidence)"

Другие аккаунты этого СБУ-шника:
https://vk.com/id245710355 (Фото ненастоящее, украдено с другого аккаунта)
https://www.youtube.com/channel/UCllNcl3R9DCJfBmf28CVTBg
https://www.facebook.com/profile.php?id=100008353954222