Hakerzy zaatakowali polskie witryny podczas konferencji bliskowschodniej w Warszawie

dodał 16 lutego 2019 o 20:51 w kategorii Włamania  z tagami:
Hakerzy zaatakowali polskie witryny podczas konferencji bliskowschodniej w Warszawie

Nieznana wcześniej grupa włamywaczy podmieniła witryny czterech polskich instytucji w trakcie konferencji bliskowschodniej, odbywającej się w Warszawie. Dobór podmienionych stron, synchronizacja czasowa operacji i treść komunikatu są co najmniej ciekawe.

Gdy konferencja bliskowschodnia dobiegała końca i w prasie publikowane były komentarze podsumowujące warszawskie obrady, zawartość czterech witryn WWW czterech różnych instytucji uległa nagle zmianie. W miejsce tradycyjnych informacji pojawiły się komunikaty nieznanej wcześniej grupy „Triple A”. Analizujemy ten atak, ponieważ jego przebieg jest dość ciekawy.

Triple A Group

Za atakiem ma rzekomo stać grupa „Potrójnego A” – antysyjonistyczna, antyamerykańska i antysaudyjska. Dużo tego „anty”. 15 lutego między godz. 13:57 a 14:20 na czterech stronach naraz pojawił się następujący komunikat:

W treści zarówno obrazka jak i komentarza pod nim możemy wyczytać:

As a peaceful nation that has never started a war for the last couple of centuries, Iran has been always being one of the victims of state-terrorism conducted by the United States and Zionist regime. The anti-Iran summit in Poland which is started by the terrorist supporter governments will destroy Poland’s reputation and credibility as an independent country. It absolutely has no benefit to the people of Poland. Do not get fooled by terrorists irrigated by Saudis' money. The killers of Yemeni children and Jamal Khosghi. Do not unite with the Zionists and the ISIS supporters.
Anti-Zionist Anti-USA
Anti-Saudi
Triple A Group

Tekst ewidentnie nawiązuje do konferencji bliskowschodniej i znaleźć w nim można pewną ciekawostkę – ale o tym za moment, bo teraz wskażmy ofiary włamania.

Ciekawy dobór ofiar

W ciągu pół godziny podmieniono następujące strony:

  • https://www.pch24.pl – Polonia Christiana, portal mocno prawicowy i fundamentalistycznie katolicki,
  • http://wroc.uzs.gov.pl – wrocławski oddział Urzędu Żeglugi Śródlądowej (strona nadal wisi w zmodyfikowanej wersji),
  • https://www.cossw.pl – Centralny Ośrodek Szkolenia Służby Więziennej (serwer obecnie wyłączony),
  • https://www.pism.pl – Polski Instytut Spraw Międzynarodowych.

Obecność domeny „gov.pl” jest zrozumiała. Możemy przyjąć, że PISM także wydaje się być logicznym celem – w końcu to w jego kompetencjach leży analiza uwarunkowań geopolitycznych Polski. Co jednak na liście robi Centralny Ośrodek Szkolenia Służby Więziennej oraz prawicowo-katolicki portal?

Warto w tym miejscu zadać następujące pytania:

  1. Jaki nieznany wcześniej napastnik z dalekiego kraju dysponuje tak dobrym wglądem w polską scenę polityczną i polskie instytucje państwowe, by wybrać witryny spoza domeny gov.pl, które należą do organów państwa lub są opiniotwórcze po prawej stronie sceny politycznej? Dobór ofiar włamania sugeruje, że nie było to działanie przypadkowej grupy Anonymous.
  2. Jaka nieznana grupa przygotowuje swoje włamanie wiele dni wcześniej, by potem, w ciągu 30 minut, podmienić cztery różne witryny, na czterech różnych serwerach i robi to dość profesjonalnie (w portalu pch24.pl każda strona została przekierowana na komunikat włamywaczy)?
  3. Kto w ogóle w 2019 roku podmienia witryny, by zamieścić tam polityczne apele? To nie są lata 1990-2000…

Warto też zwrócić uwagę na to, że włamywacz zadbał o utrwalenie swoich poczynań – strony zostały ładnie zmirrorowane w serwisie Zone-H. W samym teście znajduje się też jeden dziwny fragment. Włamywacze przywołują postać Dżamala Chaszukdżi, brutalnie zamordowanego przez Saudyjczyków. Nazywają go jednak „Jamal Khosghi”. To bardzo nietypowy błąd pisowni. Tak bardzo, że według Google’a użyto go tylko na podmienionej stronie i w jednym, jedynym tweecie:

Chcieliśmy dowiedzieć się czegoś więcej o użytkowniku Sarmad Sameer, lecz niestety jego konto na Twitterze nie jest już dostępne dla osób spoza zaakceptowanego grona. Ciekawe.

Obstawiamy, że wbrew twierdzeniom włamywaczy za tym atakiem nie stali arabscy hakerzy.