مجموعة Hacktivist تستدعي الحلفاء والمتسللين للتوحد ضد حكومة الهند

الفئة: استخبارات الخصمنوع التهديد: الهاكتيفيةالصناعة: الحكومة والقطاع الخاصالمنطقة: تحديث الهند الثاني: 13 يونيو 2022، الساعة 18:30 بتوقيت الهند القياسيالتقط باحثو CloudSek عضوًا في منتدى DragonForce ينفذ هجوم DDOS المزعوم على موقع BJP الرسمي. يتطابق عنوان IP في الصورة مع عنوان IP لخادم BJP (على سبيل المثال 104 [.] 18 [.] 130 [.] 37). [معرف التسمية التوضيحية = «المرفق _19542" aligncenter «العرض ="323"] Image depicting attackers implementing DDOS attacks on the BJP website

Image depicting attackers implementing DDOS attacks on the BJP website

صورة تصور المهاجمين الذين ينفذون هجمات DDOS على موقع BJP الإلكتروني [/caption] بالإضافة إلى ذلك، حدد باحثو CloudSek مجموعة من الجهات الفاعلة في مجال التهديد، حيث قاموا بتعميم أرقام الاتصال بأفراد الشرطة الهندية من خلال روابط دردشة WhatsApp، في قسم التعليقات على Instagram في DragonForce. تم الكشف عن محتوى متطابق في منتدى مجموعة hacktivist أيضًا. [معرف التسمية التوضيحية = «المرفق _19543" aligncenter «العرض ="828"] Phone numbers of Police Personnel were exposed in the Instagram comment section

Phone numbers of Police Personnel were exposed in the Instagram comment section

تم الكشف عن أرقام هواتف أفراد الشرطة في قسم التعليقات على Instagram [/caption]

دراغون فورس تي بي تي بي إس

كشف تحليل شامل للتهديد عن TTPs المحتملة للمجموعة:

كما ذكرنا سابقًا، تستخدم المجموعة Google dorks لتحديد الأهداف. وهذا يتيح لهم جلب أهداف من اختيارهم، بناءً على الثغرة الأمنية التي يريدون استهدافها.
على سبيل المثال، استهدفت مجموعة الممثلين موقع تبادل المعرفة والموارد التابع لحكومة الهند (https [:] //krcnet [.] moes [.] gov [.] in/user/register). تمت مشاركة رابط دقيق في منتدى المجموعة للأفراد لاستهدافهم. يسمح موقع الويب هذا بتحميل أنواع الملفات مثل png و gif و jpg وما إلى ذلك. يسمح بتحميل الصور حتى 250 ميغابايت، والتي كان من الممكن أن تتلاعب بها المجموعة، لتشويه موقع الويب.
كان من الممكن اكتشاف هذا الموقع من قبل الممثلين من خلال google dorks مثل:
- «أنواع الملفات المسموح بها: موقع png gif jpg tx:gov.in»
- «أنواع الملفات المسموح بها: png gif jpg txsite:com»
- «أنواع الملفات المسموح بها: موقع png gif jpg tx:net.in»
- «أنواع الملفات المسموح بها: موقع png gif jpg tx:in»
- «أنواع الملفات المسموح بها: موقع png gif jpg tx:ac.in»
- «أنواع الملفات المسموح بها: png gif jpg txsite:com»
- «أنواع الملفات المسموح بها: png gif jpg txt»
يتم استهداف النطاقات التي تحتوي على .gov.in و.com و.net.in و.in و.ac.in بشكل أساسي من قبل المهاجمين.
تستخدم مجموعة الجهات الفاعلة في مجال التهديد أداة تسمى SC deface (أو Script Deface) لتشوه مواقع الويب المستهدفة. تحتوي هذه الأداة على رموز تشويه مسبقة الصنع يمكن إدراجها في مواقع الويب المستهدفة، مع تصميمات يمكن للمستخدم تنزيلها. يمكن للمستخدم تعديل كود HTML والتصميم وفقًا لنيته.

[معرف التسمية التوضيحية = «المرفق _19544" aligncenter «العرض ="1211"] Screenshot from the threat actor group’s forum depicting an actor sharing knowledge about abusing Drupal

Screenshot from the threat actor group’s forum depicting an actor sharing knowledge about abusing Drupal

لقطة شاشة من منتدى مجموعة ممثلي التهديد تصور ممثلًا يشارك المعرفة حول إساءة استخدام دروبل [/caption] التحديث 1:13 يونيو 2022، الساعة 14:30 بتوقيت الهند تشير آخر مشاركة للمجموعة على موقع الويب الخاص بهم إلى أنها ستقوم بهجوم DDOS واسع النطاق في الساعة 10:30 مساءً بتوقيت ماليزيا (08:30 مساءً بتوقيت الهند) على موقعين هنديين:

موقع للمحاربين القدامى في الجيش الهندي، مما يسمح بالوصول المباشر إلى بروتوكول الإنترنت للجميع: https [:] //www [.] Indianarmyteran [.] gov [.] in/، مع عنوان IP 164 [.] 100 [.] 228 [.] 84
موقع ويب حزب بهاراتيا جاناتا: https [:] //www [.] bjp [.] org/home بعنوان IP 104 [.] 18 [.] 130 [.] 37

ذكرت مجموعة الممثلين على وجه التحديد المنفذ 443 للهجوم. يحتوي موقع BJP على تقنية Cloudflare المنشورة بينما لا يحتوي موقع المحاربين القدامى في الجيش الهندي على أي تدابير من هذا القبيل. آخر تحديث على موقع دراغون فورسيمكن أن يكون TTP المحتمل لهجوم Host Net:

قام المهاجم باستغلال Admin SQL وتجاوزه وتحميل غلاف عكسي إلى النظام.
- أساء الممثل استخدام جوجل دورك واستخدمه. /تسجيل الدخول باستخدام معامل الموقع كـ «:in» للهند.
- تجاوز الممثل Admin SQL باستخدام استغلال مكتوب بلغة PHP وقام بتحميل ثلاثة ملفات للوصول العكسي إلى النظام. تمت كتابة نصوص shell هذه أيضًا بلغة PHP.

13 يونيو 2022، الساعة 10:30 بتوقيت شرق الولايات المتحدة

ملخص تنفيذي

تهديدتأثيرتخفيف

دفعت تصريحات السياسيين الهنود الأخيرة حول النبي مجموعة القرصنة DragonForce إلى إطلاق حملة OpsPatuk ضد الحكومة الهندية.
كما طلبت المجموعة دعم «المتسللين المسلمين في جميع أنحاء العالم ومنظمات حقوق الإنسان والناشطين». [هكذا]

يمكن أن تؤدي الحملات ذات الدوافع الدينية والسياسية مثل OpsPatuk إلى خرق بعض المواقع الحكومية الحساسة التي تحتوي على معلومات تحديد الهوية الشخصية والعمليات العسكرية والأسرار الحكومية الأخرى، والتي يمكن أن تؤدي في الأيدي الخطأ إلى شن هجمات مستهدفة على البلاد ومواطنيها.

راقب الحالات الشاذة في حسابات المستخدمين وتطبيقات الويب المكشوفة على الإنترنت.
يجب أن يكون مقدمو الاستضافة وفرق الاستجابة الإلكترونية الحكومية في حالة تأهب قصوى.

التحليل والإسناد

معلومات من وسائل التواصل الاجتماعي

في 10 يونيو 2022، كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشفت تغريدة نشرتها مجموعة قراصنة ماليزية تحمل اسم DragonForce، تدعو إلى شن هجمات على مواقع الحكومة الهندية من قبل قراصنة مسلمين في جميع أنحاء العالم.
كان الهدف الأساسي للمجموعة من الهجوم، كما زعموا، هو الرد على الحكومة الهندية بسبب التعليقات المثيرة للجدل حول النبي محمد من قبل بعض السياسيين الهنود.
لتمكين حلفائهم من شن هجمات، شاركت المجموعة ما يلي:
- أوراق اعتماد وسائل التواصل الاجتماعي للمواطنين الهنود، وخاصة الوصول إلى Facebook
- مجموعات اسم المستخدم وكلمة المرور المزعومة لحسابات SBI المصرفية

أوراق اعتماد بنك SBI [معرف التسمية التوضيحية = «المرفق _19508" alignnone» width="1165"] Leaked credentials to log into social media accounts

بيانات اعتماد مسربة لتسجيل الدخول إلى حسابات وسائل التواصل الاجتماعي [/caption]

وقد أطلقت المجموعة على هذه العملية اسم OpsPatuk، والتي تُترجم إلى «الضربة القاضية». شاركت المجموعة أيضًا أدلة على أنها اخترقت مواقع الحكومة الهندية التالية:
- تعويض عن إسرائيل [.] الحكومة [.] في
- إدارة [.] الحكومة [.] في
- extensionmoocs [.] إدارة [.] gov [.] في
- عبر [.] إدارة [.] الحكومة [.] في
- cfa [.] إدارة [.] الحكومة [.] في

معلومات للمنتديات السرية

بعد إجراء مزيد من التحقيق، اكتشفت CloudSek العديد من الجهات الفاعلة في مجال التهديد التي تنضم إلى هذه العملية وتخترق مواقع الويب الهندية المختلفة. يتم سرد عدد قليل من هذه المنشورات أدناه.

يدعي أحد قراصنة OpspatUK أنه اخترق أحد خوادم Host Net India (216 [.] 48 [.] 179 [.] 60)، وقام بمشاركة عينات من الصور لإثبات الادعاءات.
تشير الأبحاث الإضافية إلى أن الهجوم الأولي يبدو أنه على خوادم الويب التي تم اختراقها باستخدام عمليات استغلال الاستضافة المشتركة. كان بإمكان المهاجمين أيضًا استغلال admin SQL وتجاوزه أو إساءة استخدام فهرس Google dork لتحميل غلاف عكسي إلى النظام.

[معرف التسمية التوضيحية = «المرفق _19509" align= «alignnone» width="960"] List of shared hosting exploits as provided by the threat actor

قائمة بمآثر الاستضافة المشتركة كما قدمها ممثل التهديد [/caption]

تم العثور على عضو آخر في عملية OpsPatuk يناقش هجومًا إلكترونيًا محتملاً على الموقع الرسمي لـ BJP، الحزب الحاكم الهندي.

[معرف التسمية التوضيحية = «المرفق _19510" align= «alignnone» width="1999"] Screenshot of the threat actor’s post on the underground forum

لقطة شاشة لمنشور ممثل التهديد في المنتدى السري [/caption]

حول دراجون فورس

المجموعة التي تقف وراء هذه الدعوة الإلكترونية لحمل السلاح، DragonForce Malaysia، هي مجموعة هاكتيفيست مؤيدة للفلسطينيين ومقرها في ماليزيا.
تمتلك هذه المجموعة وتدير منتدى حيث تنشر الإعلانات وتناقش أحدث أنشطتها.
تحتوي المجموعة أيضًا على صفحات Instagram و Facebook إلى جانب قنوات Telegram المتعددة. ومع ذلك، يتم نسخ معظم المحتوى عبر مواقع الويب الخاصة بهم ومقابض الوسائط الاجتماعية.
تقوم المجموعة بحملات توظيف وترويج منتظمة باستخدام بكرات Tiktok و Instagram.
اكتشفت CloudSek هاشتاغ TikTok #opspatuk، مع منشورات تدعو إلى اتخاذ إجراءات ضد الحكومة الهندية. هذه المنشورات لديها أكثر من 2.4 مليون مشاهدة، في وقت نشر هذا التقرير.

[معرف التسمية التوضيحية = «المرفق _19511" align= «alignnone» width="1764"] Posts on TikTok calling for actions against the Indian government under the hashtag #opspatuk

Posts on TikTok calling for actions against the Indian government under the hashtag #opspatuk

منشورات على TikTok تدعو إلى اتخاذ إجراءات ضد الحكومة الهندية تحت الهاشتاغ #opspatuk [/caption]

قنوات الاتصال الرسمية لـ DragonForce

المنتدى: https [:] //دراغون فورس [.] راديو: https [:] //راديو [.] دراغون فورس [.] إو فيسبوك: https [:] //fb [.] أنا/دراغون فورس أوتيوتيليجرام: https [:] //t [.] أنا/دراغون فورس إنترنت تويتر: https [:] //تويتر [.] com/dragonforceioInstagram: https [:] //dragonforceIoInstagram: https [:] //dragonforce IoInstagram: https [:] //dragonforce IoInstagram: https [:] //dragonforce IoT موقع يوتيوب الخاص بإنترنت: https [:] //www.youtube [.] كوم/قناة/UC9gycrxuy7-WMULPBKBP4BW

اختيار الهدف

شاركت المجموعة قائمة بالمواقع التي تشجع مؤيديها وحلفائها على استهدافها. بصرف النظر عن العديد من مواقع الحكومة الهندية، يشمل هذا أيضًا المواقع الهندية الخاصة:

شركات الخدمات اللوجستية وسلسلة التوريد
المؤسسات التعليمية
شركات التكنولوجيا والبرمجيات
مزودي استضافة الويب

[معرف التسمية التوضيحية = «المرفق _19512" align= «alignnone» width="1024"] Image depicting tweet screenshot of the Dragon Force threat actor group’s call to unite against India

Image depicting tweet screenshot of the Dragon Force threat actor group’s call to unite against India

صورة تصور لقطة شاشة تغريدة لدعوة مجموعة ممثلي التهديد في Dragon Force للتوحد ضد الهند [/caption]

مجموعات التهديد التي تدعم DragonForce في ماليزيا

تم ربط DragonForce سابقًا بالمجموعات التالية، والتي يبدو أن معظمها من ماليزيا أو باكستان.

ثورة باكستان
برغي ريليك
T3 ديمنيون في ماليزيا
الجيش السيبراني الإسلامي الموحد
كود نيوبي
أطقم فانتوم
مضيف محلي ماليزيا
جيش هاريما مالايا الإلكتروني
مجموعة تيمبوراكاي في ماليزيا

استجابةً لنداء DragonForce الصاخب، اخترق فريق Team Revolution Pakistan بالفعل Time8، وهي قناة إخبارية رقمية مقرها ولاية آسام. أثناء البث المباشر للأخبار، تم قطع بث القناة واستبدالها بعلم باكستان وترنيمة خلفية تمدح النبي محمد (صلى الله عليه وسلم). [معرف التسمية التوضيحية = «المرفق _19513" align= «alignnone» width="819"] Image depicting hacked Time8 Youtube live stream with Pakistani flag as the image.

Image depicting hacked Time8 Youtube live stream with Pakistani flag as the image.

صورة تصور البث المباشر لـ Time8 Youtube الذي تم اختراقه مع العلم الباكستاني كصورة. [/التسمية التوضيحية] ومن المرجح جدًا أن تكتسب مثل هذه الأنشطة، من قبل مؤيدي المجموعة، زخمًا في الأيام المقبلة.

متجهات الهجوم الأولية

حتى الآن، استخدمت DragonForce ومؤيدوها بشكل أساسي الهجمات التالية من جانب الخادم والعميل لاستهداف الضحايا: الهجمات الجانبية للخادمالهجمات من جانب العميل

رش كلمات المرور باستخدام الحسابات المخترقة على مواقع التواصل الاجتماعي.
استهدف موفري الاستضافة للحصول على وصول غير مصرح به إلى مواقع الويب المستضافة.
هجمات تضمين الملفات المحلية على تطبيقات الويب.
الاستفادة من الأدوات المتاحة على نطاق واسع لـ DDOS.

استخدام عمليات استغلال مستندات Microsoft.
البرامج الضارة وبرامج الفدية.
حملات التصيد الاحتيالي باستخدام رسائل SMS و WhatsApp مع ملفات ضارة.

آلية الثبات

تعتمد DragonForce ومؤيدوها على قذائف الويب للحفاظ على موطئ قدم لهم على شبكات المنظمات المستهدفة.

الخاتمة

Hacktivism، المعروف أيضًا باسم hactivism، هو استخدام التقنيات القائمة على الكمبيوتر مثل القرصنة كشكل من أشكال العصيان المدني لتعزيز أجندة سياسية أو تغيير اجتماعي على الإنترنت. مع تزايد عصر الرقمنة والتحول النموذجي الذي أحدثه الوباء العالمي، بدأ الناس في جميع أنحاء العالم في استخدام هذا التكتيك على نطاق واسع. كان هذا سائدًا بشكل خاص بعد الصراع الأخير بين روسيا وأوكرانيا، والذي بدأ في فبراير 2022، والذي شهد ظهور العديد من نشطاء القرصنة على كلا الجانبين. في ضوء الإجراءات والتهديدات القوية لـ DragonForce، من المهم للشركات الهندية والكيانات الحكومية تأمين مواقعها الإلكترونية وأصولها ونقاط النهاية لمنع المزيد من تصعيد الهجمات. ستواصل CloudSek التحقيق في هذا النمط المتطور من الهجمات وتقديم تحديثات في الوقت المناسب لتعزيز أمن الحكومة الهندية والكيانات الخاصة.