СБУ начало следить за русскими блогерами
Постучался некто, представившийся "читателем моего блога", и предоставил следующую информацию.
Я исправил только множественные ошибки по тексту и сделал html-оформление для некоторых элементов; остальное все публикуется "as is" ("как есть"):
На этой неделе в сети появилась информация о методах СБУ в украинском сегменте интернета, почитайте:
Скорее всего последовательность событий была такая:
- публикуется блог об отслеживании в соц.сетях
- кто-то интересуется этой записью, настолько, что ему удалось взломать е-mail владельца
- публикуются две других блогозаписи.
Я решил разобраться в технической стороне вопроса.
Итак, у нас есть информация о том, что с сервера с IP-адресом 159.253.0.45 осуществляется атака на пользователей украинского интернета.
Этот IP-адрес принадлежит хостинговой компании axc.nl, на нем размещены тысячи сайтов.
Заходим сюда: http://bgp.he.net/net/159.253.0.0/24#_dns
Вычленяем подозрительные домены:
Домен | Дата регистрации | Email из whois | Описание |
---|---|---|---|
1tvonline.org | May 28, 2014 | [email protected] | Логирует IP-адреса, User-Agent, Referer и перенаправляет на легальную странцу |
lifenews.co | May 28, 2014 | [email protected] | Логирует IP-адреса, User-Agent, Referer и перенаправляет на легальную странцу |
rtr-planeta.net | May 28, 2014 | [email protected] | Логирует IP-адреса, User-Agent, Referer и перенаправляет на легальную странцу |
russia-today.org | May 28, 2014 | [email protected] | Логирует IP-адреса, User-Agent, Referer и перенаправляет на легальную странцу |
special-news.info | April 01, 2014 | [email protected] | Логирует IP-адреса, User-Agent, Referer и перенаправляет на легальную странцу |
lenta-ru.info | April 01, 2014 | [email protected] | Логирует IP-адреса, User-Agent, Referer и перенаправляет на легальную странцу |
newsukr.info | April 01, 2014 | [email protected] | Логирует IP-адреса, User-Agent, Referer и перенаправляет на легальную странцу |
user6679969.info | April 01, 2014 | [email protected] | ? |
id6679969.info | April 01, 2014 | [email protected] | Анонимная отправка email, с подменой адреса отправителя. Копия: https://archive.today/5XfTV |
mail-log.info | April 16, 2014 | [email protected] | Фишинговая страница для Facebook. Копия: https://archive.today/iUoUe |
m-vk.co | April 29, 2014 | [email protected] | Фишинговая страница для VK. Копия: https://archive.today/Avaio |
mail-log.in | April 16, 2014 | [email protected] | ? |
Было обнаружено еще несколько доменов, зарегистрированных на [email protected], но, возможно, они к этому делу никакого отношения не имеют:
id1807711.info, user3519688.info, i_________8.info, i_________6.info (Для последних двух известны только первый и последний символы)
Пароль к ящику [email protected] лежит в открытом доступе в интеренете. Возможно, так им и воспользовались для регистрации доменов.
На первых 7 доменах размещен такой скрипт:
https://gist.github.com/anonymous/f50e0709b98d8b473a83
Скрипт получения текущих IP-адресов взят отсюда: https://github.com/natevw/ipcalf/blob/master/_attachments/network_ip.html
Другая часть скрипта пытается определить внутренний IP-адрес, текущий IP-адрес, User-Agent, Referer, дату:
type: "POST",
url: "index.php",
data: "action=insert_db&ioi=&ip=111.222.333.444&date=2014-08-08 10:10:10&usag=Mozilla/5.0 (Windows NT 6.1; rv:31.0) Gecko/20100101 Firefox/31.0&inip="+displayAddrs+"&ref=",
"action=insert_db" как бы намекает нам о том, что данные записываются в базу данных.
А теперь нетехническая часть.
Некоторые читатели с недоумением восприняли блог-пост, сообщающий о том, что за этой атакой стоит СБУ.
Давайте рассмотрим такой сценарий, что за этой атакой стоит некий украинский хакер-патриот.
Все, что можно извлечь из этого - это IP-адрес. Зачем хакеру-патриоту информация об IP-адресах?
Если же рассмотреть теорию с СБУ, то все встает на свои места. Очевиден такой сценарий:
- В социальные сети вбрасываются ссылки с этим 7 доменами
- Собираются IP-адреса посетителей
- Пользователям с найдеными IP-адресами вставляется фишинговая страница вконтакте и facebook.
- Изучается переписка пользователя, на него составлятся профайл.
Еще одним интересным пунктом в этой истории является использование вредоносного ПО.
Если бы блогеры опубликовали найденные файлы, было бы возможно расследовать данный инцидент более глубоко.
Пример поста: http://vk.com/wall-66845890_468
Копия: https://archive.today/j8sMv
Пример поста: https://twitter.com/verzev1/statuses/494057124389875713
Копия: https://archive.today/dQJff
Закрываем все вопросы СБУ-не-СБУ (доказывает версию про СБУ):
Посмотрите на твит-реплаи, которые идут с этого Twitter-аккаунта: https://twitter.com/verzev1/with_replies (Копия: https://archive.today/MYKPc)
Человек целенаправленно рассылает каждому нелояльному пользователю ссылку вида "http://rtr-planeta.net/?ioi=XXXX&u=17".
Обратите внимание что параметр ioi в ссылке отличается для каждого пользователя.
Видимо, именно так потом находят соответствие "аккаунт в соц.сети = IP в Базе данных"
Ну, а теперь самое интересное:
Оригинал: https://twitter.com/verzev1/status/491847861425152001
Копия: https://archive.today/bR9id
Оригинал: https://twitter.com/verzev1/status/491847308586532864
Копия: https://archive.today/HLrLJ
В этих двух твиттах он обращается к автору блога http://ukraineatwar.blogspot.ru/
с просьбой поделиться некими изображениями, которые будут использоваться в качестве доказательств.
Эпичная цитата:
"I am a member of the Security Service of Ukraine. Need will take off your (or your source images as evidence)"
Другие аккаунты этого СБУ-шника:
https://vk.com/id245710355 (Фото ненастоящее, украдено с другого аккаунта)
https://www.youtube.com/channel/UCllNcl3R9DCJfBmf28CVTBg
https://www.facebook.com/profile.php?id=100008353954222
Встройте "Политонлайн" в свой информационный поток, если хотите получать оперативные комментарии и новости:
Добавьте Политонлайн в свои источники в Яндекс.Новости или News.Google
Также будем рады вам в наших сообществах во ВКонтакте, Фейсбуке, Твиттере, Одноклассниках...