Giới thiệu

Kể từ 2013, nhiều trang web chính thức thuộc về các chính phủ trên khắp thế giới đã bị xâm nhập và thay đổi giao diện bởi một kẻ tấn công được xác định là ’VandaTheGod.’
Tay hacker này nhắm vào các chính phủ tại nhiều quốc gia, bao gồm: Brazil, the Dominican Republic, Trinidad and Tobago, Argentina, Thailand, Vietnam, và New Zealand. Nhiều thông điệp để lại trên các trang web bị thay đổi giao diện nhấn mạnh rằng các cuộc tấn công có động cơ chống đối lại chính phủ, và được thực hiện để chiến đấu lại bất bình đẳng xã hội mà tên hacker này tin rằng đó là kết quả của một chính phủ thối nát.
Mặc dù cuộc tấn công thay đổi giao diện trên các trang web đã đem lại danh tiếng cho VandaTheGod, hoạt động của kẻ tấn công này còn mở rộng hơn, đó là đánh cắp thông tin thẻ tín dụng và làm lộ các thông tin tài khoản cá nhân.
Tuy nhiên, bằng cách điều tra kỹ càng các cuộc tấn công này, chúng tôi đã có thể xác định hoạt động của VandaTheGod qua nhiều năm, và cuối cùng cũng vén màn bí mật về danh tính của kẻ tấn công này.
Hình 1: Một trang web bị xâm nhập bởi VandaTheGod.

Hoạt động trên mạng xã hội

Người đứng đằng sau ‘VandaTheGod’ đã điều hành nhiều danh tính khác nhau trong quá khứ, như là ’Vanda de Assis’ hay ’SH1N1NG4M3’, và cực kỳ sôi nổi ở trên mạng xã hội, chủ yếu là Twitter. Hắn ta thường chia sẻ chiến tích của các nỗ lực xâm nhập cho công chúng:
Hình 2: Trang web của chính phủ Brazil bị thay đổi giao diện, được thể hiện trên bảng tin của Twitter.
Một đường dẫn tới tài khoản Twitter này thậm chí thường được thêm vào lời nhắn VandaTheGod để lại trên các trang web bị xâm nhập, khẳng định rằng hồ sơ này thực sự được quản lý bởi kẻ tấn công.
Hình 3: Một trang web bị xâm nhập có đường dẫn tới tài khoản Twitter của VandaTheGod.
Nhiều tin nhắt twitter (tweet) trên tài khoản này được viết bằng tiếng Bồ Đào Nha. Thêm vào đó, kẻ tấn công này tự nhận mình là một phần thuộc “Brazilian Cyber Army” hay viết tắt là “BCA”, thường hiển thị logo BCA trong các ảnh chụp màn hình của các tài khoản hoặc website bị xâm nhập.
Hình 4: Sự liên kết của VandaTheGod với “Brazilian Cyber Army” trên một hình ảnh được công bố.

Hack vì mục tiêu chính trị hay chỉ là hacking?

VandaTheGod không chỉ nhắm vào các trang web thuộc chính phủ, hắn còn phát động tấn công vào các nhân vật nổi tiếng, các trường đại học, hay thậm chí là các bệnh viện. Ở một trường hợp, kẻ tấn công này tuyên bố đã có quyền truy cập tới các bản kê khai y tế của 1 triệu bệnh nhân từ New Zealand, dữ liệu này được hắn rao bán với giá 200$:
Hình 5: Tuyên bố của VandaTheGod cho thấy hắn có trong tay dữ liệu của Tổ chức Y tế của New Zealand
Trong khi các báo cáo công khai về các hoạt động xâm nhập thi thoảng khiến những kẻ tấn công bẻ lái sang các mục tiêu mới, thì ở trường hợp này kẻ tấn công có vẻ thích thú có được sự chú ý và rất hay công bố các chiến tích về các báo cáo có nhắc tới thành quả của VandaTheGod. Chúng thậm chí còn tải các video có hình ảnh của VandaTheGod lên trên kênh Youtube.
Hình 6: Kẻ tấn công tự hào vì được truyền thông nhắc tới.
Hầu hết các cuộc tấn công của VandaTheGod’s đối với các chính phủ có động cơ chính trị, nhưng khi kiểm tra kỹ càng vài dòng tweet cho thấy rằng kẻ tấn công cũng đang cố gắng để đạt được mục đích cá nhân: xâm nhập tổng cộng 5000 trang web.
Hình 7: Tuyên bố của VandaTheGod về mục tiêu hack tổng cộng 5000 trang web.
Theo dữ liệu trên zone-h (một dịch vụ ghi lại các sự cố về các trang web bị thay đổi giao diện), mục tiêu của hắn đã gần chạm ngưỡng, bởi hiện có tới 4820 bản ghi về các trang web bị xâm nhập dẫn tới VandaTheGod. Trong khi hầu hết các trang web bị xâm nhập bằng cách quét diện rộng trên Internet để tìm ra các lỗ hổng đã bị biết tới, danh sách này còn bao gồm nhiều trang web chính phủ và học thuật, mà VandaTheGod có vẻ đã chọn lựa một cách kỹ lưỡng.
Hình 8: Bản ghi về các trang web bị xâm nhập bởi VandaTheGod trên Zone-H.

Tìm hiểu đằng sau tấm mặt nạ

Vai trò chủ yếu của VandaTheGod trong nhiều nhóm hacking, cũng như tình yêu của họ đối với công chúng, có nghĩa rằng họ đã có mối quan hệ với các cộng đồng hacking khác thông qua nhiều tài khoản mạng xã hội, tài khoản dự phòng trong trường hợp bị xóa bỏ, các địa chỉ email, các website và nhiều hơn thế nữa. Qua nhiều năm trời, hoạt động này đã để lại một vệt thông tin dài để chúng tôi có thể điều tra.
Hình 9: Thông tin về email liên lạc được quảng cáo bởi VandaTheGod
Ví dụ, bản ghi WHOIS đối với tên miền VandaTheGod[.]com đã cho thấy rằng trang web này được đăng ký bởi một cá nhân đến từ Brazil, chi tiết hơn là từ Uberlandia, sử dụng địa chỉ email [email protected][.]com. Thời điểm điều đó xảy ra, trong qua khứ VandaTheGod đã từng tuyên bố mình là thành viên của nhóm hacking có tên UGNazi.
Hình 10: Thông tin WHOIS của tên miền VandaTheGod[.]com
Địa chỉ email này đã từng được sử dụng để đăng ký thêm các trang web, như là braziliancyberarmy[.]com:
Hình 11: Các tên miền được đăng ký thêm bởi [email protected]gmail.com.
Tuy nhiên, đây không phải là ví dụ duy nhất cho ta thấy thông tin giá trị về danh tính của VandaTheGod được chia sẻ online. Ví dụ, ảnh chụp màn hình dưới đây cho thấy tài khoản bị chiếm quyền của diễn viên người Brazil có tên Myrian Rios:
Hình 12: Ảnh chụp màn hình về tài khoản bị chiếm quyền của Myrian Rios trên bảng tin tài khoản Twitter của VandaTheGod.
Tuy nhiên, ảnh chụp cũng cho thấy một tab Facebook đang mở dưới cái tên “Vanda De Assis”, và khi tìm kiếm cái tên đó dẫn chúng tôi tới một tài khoản thuộc về kẻ tấn công.
Hình 13: Tài khoản Facebook thuộc về Vanda De Assis.
Trong khi tài khoản này không chia sẻ bất cứ chi tiết gì về danh tính thực sự của VandaTheGod, chúng tôi có thể thấy nhiều sự tương đồng giữa tài khoản này và tài khoản Twitter được điều hành bởi kẻ tấn công, bởi cùng một nội dung thông thường được chia sẻ trên cả hai nền tảng:
Hình 14: Hình ảnh về hoạt động hacking trên tài khoản Twitter của VandaTheGod.
Hình 15: Hình ảnh về hoạt động hacking tương tự trên tài khoản Facebook Vanda de Assis
Tuy nhiên điều thú vị hơn nhiều đó là ở hình chụp trên có để lộ cái tên của một người dùng mà chúng tôi xác định chỉ bằng các chứ viết tắt: M. R.
Hình 16: Ảnh chụp màn hình PC của VandaTheGod, để lộ một danh tính có thể là của hắn.
Đầu tiên chúng tôi chưa chắc chắn rằng M. R. là danh tính thật của VandaTheGod, nhưng chúng tôi đã quyết định rất đáng để điều tra, bởi firstname cùng với các chữ viết tắt cũng xuất hiện trên một vài ảnh chụp được chia sẻ trong tài khoản Twitter của VandaTheGod đóng vai trò như tên người dùng của máy tính sử dụng cho hoạt động hacking.
Đầu tiên, chúng tôi đã thử tìm kiếm trên Facebook để cho ra những người có tên M.R., nhưng như chúng tôi dự đoán, có quá nhiều kết quả để có thể kiểm chứng.
Điểm đột phá xảy ra khi chúng tôi tìm kiếm từ M.R. kết hợp với tên thành phố mà trước đây chúng tôi quan sát được trong thông tin WHOIS của tên miền vandathegod[.]com: “UBERLANDIA”
Điều này cho chúng tôi vài hồ sơ Facebook, nhưng chúng tôi đã có thể xác định ra một tài khoản duy nhất, tài khoản có chứa hình ảnh được tải lên có logo của the Brazilian Cyber Army.
Hình 17: Ảnh chụp màn hình PC của VandaTheGod, hé lộ một danh tính có khả năng là của hắn.
Tại điểm này, chúng tôi biết được rằng chúng tôi đang đi đúng hướng. Điều cuối cùng đó là kết nối tài khoản của cá nhân này với các tài khoản đã biết trước đây của VandaTheGod.
Chung tôi đã có thể xác định nhiều cross-post (bài đăng trên nhiều nền tảng) giữa tài khoản được phát hiện mới đây với tài khoản Facebook Vanda de Assis.
Hình 18: Hình ảnh đặc biệt trên tài khoản Facebook M.R.
Hình 19: Hình ảnh đặc biệt tương đồng trên tài khoản Facebook Vanda de Assis.
Cuối cùng, chúng tôi đã xác định ra các hình ảnh được chia sẻ về cùng một môi trường xung quanh từ các góc chụp khác nhau, đặc biệt là phòng ở của kẻ tấn công. Điều này khẳng định rằng cả tài khoản M.R. và VandaTheGod cùng được kiểm soát bởi một cá nhân giống nhau.
Hình 20: Quang cảnh trong phòng ở của tài khoản Twitter VandaTheGod.
Hình 21: Cùng quang cảnh phòng trên tài khoản Facebook M.R.

Báo cáo cơ quan thực thi luật pháp

Check Point đã báo cáo các phát hiện này tới cơ quan pháp luật có liên quan. Tất cả các hồ sơ trên mạng xã hội đều còn tồn tại, nhưng nhiều hình ảnh trong hồ sơ cá nhân của kẻ tấn công trùng với những hình ảnh được chia sẻ bởi bí danh VandaTheGod về sau đã bị xóa. Hơn nữa, hoạt động trên các hồ sơ này đã dừng kể từ cuối năm 2019, và người này không cập nhật gì thêm kể từ khi đó.

Kết luận

Kể từ 2013, hoạt động xâm nhập của VandaTheGod đã nhắm vào các chính phủ, tổ chức và các cá nhân. Họ đã thay đổi giao diện trang web của chính phủ, bán thông tin của các doanh nghiệp, và đã làm lộ ra thông tin thẻ tín dụng của nhiều cá nhân trên mạng.
Trong khi nhiều người có xu hướng hạ thấp các hội nhóm chuyên đi thay đổi giao diện bởi họ chỉ đơn giản là những kẻ nổi loạn thời đại số, đi vẽ bậy các khẩu hiệu trên các trang web, thì VandaTheGod đã chứng tỏ bằng nhiều cuộc tấn công thành công vào các trang web có danh tiếng, hoạt động xâm nhập vì động cơ chính trị thường bao gồm cả các hoạt động phạm tội trong tương lai, như là đánh cắp thông tin đăng nhập và thông tin thẻ tín dụng, cũng như chia sẻ các mã khai thác (exploits) và kỹ thuật của chúng với cộng đồng tội phạm mạng rộng lớn hơn – khiến chúng trở thành mối đe dọa cực kỳ nguy hiểm đối với an toàn và bảo mật trên không gian mạng.
VandaTheGod đã thành công trong việc thực hiện nhiều cuộc tấn công xâm nhập, nhưng cuối cúng thì lại thất bại ở khía cạnh OPSEC, bởi hắn để lại phía sau nhiều dấu vết dẫn tới danh tính thực sự của hắn, đặc biệt là khi bắt đầu khởi nghiệp hacking. Cuối cùng, chúng tôi có thể hầu như chắc chắn liên kết danh tính của VandaTheGod với một công dân người Brazil ở thành phố Uberlândia, và chuyển tiếp các phát hiện của chúng tôi tới cơ quan thực thi pháp luật, cho phép họ có thể có các hành động tiếp theo.

Phụ lục

Bảng sau cho thấy số lượng các trang web đã bị xâm nhập, theo từng quốc gia, thời điểm từ giữa Tháng 5 năm 2019 tới Tháng 5 năm 2020, theo các bản ghi trên h-zone:
Country
#Hacked Websites
USA612
Australia81
Netherlands56
Italy53
South Africa38
Canada33
Germany33
Thailand28
United Kingdom20
Portugal16
Switzerland14
Norway13
Spain9
Belgium8
Iran8
Romania7
Vietnam6
Cyprus5
Czech Republic4
Denmark4
France3
Ireland3
Kenya3
Sweden3
Chile2
Colombia2
European Union2
Hong Kong2
Indonesia2
Israel2
Malta2
Bhutan1
Cape Verde1
Ethiopia1
Greece1
Guatemala1
Iceland1
Luxembourg1
Singapore1
Trinidad and Tobago
1

Tác giả và bản quyền

Tác giả: Check Point
Link nghiên cứu gốc: https://research.checkpoint.com/2020/vandathegod/
Dịch giả: Berserker (Cyber Space)

Hỗ trợ chúng tôi

Chúng tôi rất mong muốn nhận được sự hỗ trợ của cộng đồng để đem lại nhiều bài viết hay và thú vị. Các bạn có thể ủng hộ bằng cách đăng ký trở thành membership của Cyber Space thông qua link Patreon:
https://www.patreon.com/cyberg0100