16.02.2019 | 20:51

Adam Haertle

Hakerzy zaatakowali polskie witryny podczas konferencji bliskowschodniej w Warszawie

Nieznana wcześniej grupa włamywaczy podmieniła witryny czterech polskich instytucji w trakcie konferencji bliskowschodniej, odbywającej się w Warszawie. Dobór podmienionych stron, synchronizacja czasowa operacji i treść komunikatu są co najmniej ciekawe.

Gdy konferencja bliskowschodnia dobiegała końca i w prasie publikowane były komentarze podsumowujące warszawskie obrady, zawartość czterech witryn WWW czterech różnych instytucji uległa nagle zmianie. W miejsce tradycyjnych informacji pojawiły się komunikaty nieznanej wcześniej grupy „Triple A”. Analizujemy ten atak, ponieważ jego przebieg jest dość ciekawy.

Triple A Group

Za atakiem ma rzekomo stać grupa „Potrójnego A” – antysyjonistyczna, antyamerykańska i antysaudyjska. Dużo tego „anty”. 15 lutego między godz. 13:57 a 14:20 na czterech stronach naraz pojawił się następujący komunikat:

W treści zarówno obrazka jak i komentarza pod nim możemy wyczytać:

As a peaceful nation that has never started a war for the last couple of centuries, Iran has been always being one of the victims of state-terrorism conducted by the United States and Zionist regime. The anti-Iran summit in Poland which is started by the terrorist supporter governments will destroy Poland’s reputation and credibility as an independent country. It absolutely has no benefit to the people of Poland. Do not get fooled by terrorists irrigated by Saudis’ money. The killers of Yemeni children and Jamal Khosghi. Do not unite with the Zionists and the ISIS supporters.
Anti-Zionist Anti-USA
Anti-Saudi
Triple A Group

Tekst ewidentnie nawiązuje do konferencji bliskowschodniej i znaleźć w nim można pewną ciekawostkę – ale o tym za moment, bo teraz wskażmy ofiary włamania.

Ciekawy dobór ofiar

W ciągu pół godziny podmieniono następujące strony:

  • https://www.pch24.pl – Polonia Christiana, portal mocno prawicowy i fundamentalistycznie katolicki,
  • http://wroc.uzs.gov.pl – wrocławski oddział Urzędu Żeglugi Śródlądowej (strona nadal wisi w zmodyfikowanej wersji),
  • https://www.cossw.pl – Centralny Ośrodek Szkolenia Służby Więziennej (serwer obecnie wyłączony),
  • https://www.pism.pl – Polski Instytut Spraw Międzynarodowych.

Obecność domeny „gov.pl” jest zrozumiała. Możemy przyjąć, że PISM także wydaje się być logicznym celem – w końcu to w jego kompetencjach leży analiza uwarunkowań geopolitycznych Polski. Co jednak na liście robi Centralny Ośrodek Szkolenia Służby Więziennej oraz prawicowo-katolicki portal?

Warto w tym miejscu zadać następujące pytania:

  1. Jaki nieznany wcześniej napastnik z dalekiego kraju dysponuje tak dobrym wglądem w polską scenę polityczną i polskie instytucje państwowe, by wybrać witryny spoza domeny gov.pl, które należą do organów państwa lub są opiniotwórcze po prawej stronie sceny politycznej? Dobór ofiar włamania sugeruje, że nie było to działanie przypadkowej grupy Anonymous.
  2. Jaka nieznana grupa przygotowuje swoje włamanie wiele dni wcześniej, by potem, w ciągu 30 minut, podmienić cztery różne witryny, na czterech różnych serwerach i robi to dość profesjonalnie (w portalu pch24.pl każda strona została przekierowana na komunikat włamywaczy)?
  3. Kto w ogóle w 2019 roku podmienia witryny, by zamieścić tam polityczne apele? To nie są lata 1990-2000…

Warto też zwrócić uwagę na to, że włamywacz zadbał o utrwalenie swoich poczynań – strony zostały ładnie zmirrorowane w serwisie Zone-H. W samym teście znajduje się też jeden dziwny fragment. Włamywacze przywołują postać Dżamala Chaszukdżi, brutalnie zamordowanego przez Saudyjczyków. Nazywają go jednak „Jamal Khosghi”. To bardzo nietypowy błąd pisowni. Tak bardzo, że według Google’a użyto go tylko na podmienionej stronie i w jednym, jedynym tweecie:

Chcieliśmy dowiedzieć się czegoś więcej o użytkowniku Sarmad Sameer, lecz niestety jego konto na Twitterze nie jest już dostępne dla osób spoza zaakceptowanego grona. Ciekawe.

Obstawiamy, że wbrew twierdzeniom włamywaczy za tym atakiem nie stali arabscy hakerzy.

Powrót

Komentarze

  • 2019.02.16 21:12 a

    jeśli nie arabscy to kto mógłby to być?

    Odpowiedz
    • 2019.02.16 22:56 Moris

      No to jest chyba oczywiste. Jak zwykle chińscy albo rosyjscy hakerzy :-)

      Odpowiedz
    • 2019.02.16 23:43 Czytnik Braila

      No właśnie… ciekawe kto i dlaczego akurat ruscy….

      Odpowiedz
      • 2019.02.17 12:12 Maciej

        Jak to po co? Żeby podgrzać sytuację, zniechęcić Polaków do obecnego rządu. Żeby napsuć krwi jak to ruscy zwykle robią

        Odpowiedz
    • 2019.02.17 13:06 fdapo

      raczej sugerowanie, że perscy hackerzy

      Odpowiedz
      • 2019.02.18 17:43 w

        punkt dla Ciebie. Irańczycy to nie Arabowie, ale w tym miejscu Europy to wiedza raczej tajemna

        Odpowiedz
  • 2019.02.16 21:38 Robert

    W styczniu były podobne groźby
    http://lodz.wyborcza.pl/lodz/7,35136,24387169,alarm-bombowy-w-urzedzie-marszalkowskim-dostali-maila-to.html?disableRedirects=true
    Z naszych informacji wynika, że przed godz. 10 do urzędu marszałkowskiego w Łodzi przyszedł mail. Adresat informował o bombie z „gazem bojowym”. Groził, że ma w planach zabić wiele osób, a wszystko z powodu polityki Polski wobec Iranu.
    Podobne maile dotarły do urzędów w kilku dużych miastach, m.in. Gdańsku, Kielcach i Lublinie. W wiadomości, która trafił do urzędu marszałkowskiego w Gdańsku, czytamy:
    „To kara za zdradę braci z Islamskiej Republiki Iranu. Zginiecie wszyscy żydowskie psy (…) To kara za zdradę Islamskiej Republiki Iranu”.
    Z naszych informacji wynika, że mail podobnej treści dotarł również do Urzędu Marszałkowskiego Województwa Łódzkiego. Czytamy w nim: „Bomba jest specjalnie zaprojektowana tak, aby zabić jak najwięcej osób”.
    Autor maila przestrzegał, że do detonacji dojdzie zaraz po otrzymaniu tej wiadomości.

    Odpowiedz
  • 2019.02.16 21:42 wml

    Twitter znajduje 3 wpisy z ta pisownią

    https://twitter.com/search?q=jamal%20khosghi&src=typd

    Odpowiedz
  • 2019.02.16 21:59 dfhdh

    „Obstawiamy, że wbrew twierdzeniom włamywaczy, za tym atakiem nie stali arabscy hakerzy.”
    Gdzie te twierdzenia?

    Odpowiedz
    • 2019.02.16 22:25 Adam Haertle

      Powiększ obrazek i na dole od literki „A” zaczyna się napis „Arabian”

      Odpowiedz
      • 2019.02.17 00:21 Wojtek

        Atrybucja, że to Arabi nie trzyma się kupy jeżeli popatrzymy na to co się politycznie dzieje na Bliskim Wschodzie.

        Saudowie coraz lepiej dogadują się z Iranem, świat arabski coraz bardziej obawia się Iranu. Saudowie prowadzą z Iranem proxy war w Jemenie i konsolidują wokół siebie koalicję w tej wojnie. Generalnie Iran urósł i zaczyna wszystkich uwierać.

        Jakbym miał strzelać to jednak strony te spruli Persowie albo ich sympatycy.

        Martwi natomiast włam na stronę PISM. To jednak ważne miejsce i za pomocą tej strony można by nieźle namieszać w jakimś krytycznym momencie np. puszczając fake analizę / artykuł / publikację i puścić linki dalej np. do RT i innych Sputników.

        Może szczęście w nieszczęściu, że ktoś spalił zasób na coś tak mało widocznego. Oby w PISM ktoś pomyślał i zrobił analizę po włamaniową i połatał.

        Odpowiedz
        • 2019.02.17 13:56 kez87

          Przecież te „instytuty” istnieją tylko po to by potwierdzać „analizami” „myślenie” życzeniowe „naszych” polityków…

          Najlepszy dowód to to,że nie przewidzieli „agresji Putina na Ukrainę” (czytaj: oczywistej reakcji Rosyjskiej na przeprowadzenie na Ukrainie prozachodniego przewrotu w ramach euromajdanu i próbę wykopania ich z bazy w Sewastopolu). Cały scenariusz tych wydarzeń był do bólu przewidywalny – gdyby tylko siedzieli tam analitycy z prawdziwego zdarzenia,a nie klakierzy piszący analizy pod wyobrażenia polityków.

          Sama zaś próba przekierowania na różne sputniki i całą resztę była by tak grubymi nićmi szyta,że nikt by w to nie uwierzył.

          Taki atak jest

          Odpowiedz
          • 2019.02.18 12:18 kez87

            Dokończenie: Taki atak jest jednak możliwy,musiał by jednak być ZNACZNIE bardziej dokładnie przeprowadzony i zaplanowany bez jakichś sputników i innych oczywistych błędów. Czytelnikami tego typu „badaczy” są raczej politycy i urzędnicy niższego szczebla,stąd konieczne było by odpowiednie sprofilowanie takiego artykułu i być może podpięcie się pod jakiegoś sensownego analityka. Cokolwiek mniejszego było by tu olbrzymim marnotrawstwem potencjału.

            Atak ten w takiej formie raczej na pewno albo jest przykrywką do czegoś większego albo jest przeprowadzony przez pro-irańskiego (ale możliwe,że również Rosyjskiego) hacktywistę,bo operacja na szczeblu rządowo-agenturalnym była by raczej zrobiona bardziej profesjonalnie – tak w wykonaniu jak w doborze celów ataku.

  • 2019.02.16 22:40 GRU

    i te boty przede wszystkim popierają referendum (plebiscyt) na rzecz odłączenia Kaszmiru od Indii

    Odpowiedz
    • 2019.02.17 00:10 GRU

      zaginął mój pierwszy komentarz
      Sarmad Sameer to fikcyjne konto, to samo zdjęcie jest używane przez Ahmed Raza https://twitter.com/candiecell
      wpisy są mocno polityczne i popierają Nicolę Sturgeon – działaczkę na rzecz niepodległości Szkocji, a wszyscy wiemy kto wspiera ruchy separatystyczne w Europie…
      potem zobaczyłem że ten Kaszmir również ma podłoże referendum

      Odpowiedz
    • 2019.02.18 11:58 APT

      w sumie Kaszmir leży nawet bardziej w zainteresowaniu Chin https://www.economist.com/banyan/2010/08/29/the-chinese-connection

      Odpowiedz
  • 2019.02.16 23:55 Duży Pies

    Dobór witryn wskazuje że (alternatywnie):
    1) atakujący słabo orientuje się w tym co warto w RP atakować (mało prawdopodobne);
    2) atakując przykładowo Polski Instytut Spraw Międzynarodowych, atak na inne witryny był szumem żeby rozmyć trop (bardziej prawdopodobne). Co tu robi strona klawiszy (COSSW) którzy są najmniej opresyjną służbą albo wrocławski oddział UŻŚ?
    3) ktoś trenuje przed większa akcją, robi kocioł i obserwuje reakcję/zachowanie służb/CERTów/bezpieczników (mniej prawdopodobne).
    .
    Konferencja była prowadzona w wojowniczym, agresywnym tonie. Była nie tylko antyirańska ale i pośrednio antyrosyjska. Możliwy trop to Iran, Rosja. Ale możliwe też że włamywacz wykorzystał antyirańską/antyrosyjską atmosferę i chce żebyśmy tak myśleli.

    Odpowiedz
    • 2019.02.17 11:00 teorie

      myślałem o podobnych teoriach
      -podmiana stron na manifest to tylko przykrycie kradzieży danych
      -alternatywnie, osobliwy wybór stron można wytłumaczyć że to faktycznie byli amatorzy i poszli po linii najmniejszego oporu, zaatakowali najgorzej zabezpieczone strony

      Odpowiedz
      • 2019.02.17 14:00 kez87

        Ale jaki sens by miała kradzież danych od „anal-ityków” ?

        Odpowiedz
  • 2019.02.17 00:13 CyberPancake Odpowiedz
  • 2019.02.17 07:21 Anonek

    Z tym Dżamalem to bym się spisków nie doszukiwał. Translacja z farsi przez Google daje Jamal Khoshaghghi, co nie jest tak daleko od użytego Jamal Khosghi za to różne od przyjętej transliteracji z arabskiego: Jamal Khashoggi. Ot persowie nie używają arabskiego i tyle.

    Odpowiedz
  • 2019.02.17 08:49 Michał

    Wpisując w google „anti iran inurl:pl” pch24 i pism są na 2-3 stronie, co może tłumaczyć wybór akurat tych stron. cossw.pl była dostępna także w domenie cossw.gov.pl

    Odpowiedz
  • 2019.02.17 09:27 Ajatollah

    To Macierewicz i jego pretorianie. Toż to kolejna przesłanka za pilną potrzebą utworzenia (formalnie już istnieją) wojsk obrony cyberprzestrzeni i ich obfitym finansowaniu. A w utworzeniu tej wyspecjalizowanej formacji pomogą nam nasi jedyni, bezalternatywni sojusznicy czyli USA i Izrael, którzy pokazali jak bardzo im zależy na naszym bezpieczeństwie na w.w. konferencji. Czołem.

    Odpowiedz
  • 2019.02.17 13:47 Cyr4x

    Iran był, ale przed rewolucją islamską. Potem Iran stał się szariatowym reżimem.

    Odpowiedz
  • 2019.02.17 14:16 kapelan

    pozytywny deface z przeslaniem dla Polakow. mi pasuje bo chcialbym zyc w suwerennym panstwie Polskim ktore dba przede wszystkim o swój interes.

    Odpowiedz
  • 2019.02.17 14:37 Emil

    To na pewno testoviron Polaki robaki.
    Możecie nie używać zwrotów „To nie są lata 1990-2000…” i innych teorii o końcu historii.
    Otóż nic się nie zmieniło, przesunęliście się tylko w czasie na skali doświadczenia :D.
    Wszelkie poszlaki wskazują że nadal jesteśmy w latach 90 !
    Kilkanaście lat temu ogłoszono koniec robaków internetowych, bo nowe techniki detekcji … , później ogłoszono koniec ery pewnych typów podatnośći, a ja zwróciłbym uwagę na to, że nie tak dawno robak internetowy wykorzystujący tą słusznie minioną klasę podatnośći w postaci eternalblue zaatakował całe państwo i to jednoznacznie wskazuje że jesteśmy 1994 roku !
    Więc przestańcie zwiastować końce historii bo to dopiero początek ^^

    Odpowiedz
  • 2019.02.17 21:24 Zielonym_do_gory

    Na 300% Chinczycy.
    Rosjanie wiedzą o persko-arabskich antagonizmach.

    Odpowiedz
  • 2019.02.18 07:39 kr

    Hehe nasi politycy psują nam opinię w takim tempie, że nie wiem czy hakerzy będą w stanie ich dogonić ;-)

    Odpowiedz
  • 2019.02.18 09:48 Radek

    pism.pl stoi na starej wersji Apache 2.4.7
    pch24.pl/ jest schowane za Cloudflare
    Ostatnio miałem dwie serie ataków z Rosyjskich IP-doklejanie do adresów dziwnych ciągów znaków;włamania do MySQL. Może to faktycznie oni?

    Odpowiedz
    • 2019.02.19 01:01 user

      Obserwowałem to samo

      Odpowiedz
  • 2019.02.18 10:03 MA

    Obstawiam Chinczykow.
    Od ok 5 lutego na wszystkich moich serwerach obserwowalem wzmozony ruch. Normalnie jest to pareset dziennie prob wpisywania hasla do SSH. Od wspomnianego dnia byly to parenascie tysiecy dziennie, gdzie adresy to w 95% IP z Chin.

    Odpowiedz
    • 2019.02.18 12:23 kez87

      Jeżeli IP w logach są z Chin to stoi za tym Rosja albo Amerykanie. Jeśli IP są z Rosji – stoją za tym Amerykanie,reszta zachodu albo Chiny. A jeżeli są z Ameryki to może stać każdy,ale najpewniej Ruscy albo Chińczycy. No chyba,że to są prywatne ataki bez maskowania IP,bez VPNów i całej reszty.

      Odpowiedz
  • 2019.02.18 10:05 M

    co ciekawe, PCh24 pisało i pisze w taki sposób, że Iran nie powinien kręcić nosem, tam narracja jest przeciwko udziałowi Polski w wojnach przeciw Iranowi. Może atakujący wyszedł z prostego, wręcz prostackiego założenia, że skoro coś jest „Christiana” to na pewno jest dokładnie tak samo jak w USA, gdzie jako „christians” określają się protestanci, a część z nich, ze względów teologicznych, kocha Izrael i wspiera inicjatywy ataku na wrogów Izraela.

    Odpowiedz
    • 2019.02.20 02:38 Misi333k

      chrześcijanie drogi panie to wszystkie odłamy włącznie z prawosławiem, katolicy to twój tok rozumaowania zaburzyć być może, ale jednak to tylko część bo generalnie co źródło to inne podstawy, część babtystów włącza do katolików część nie, generalnie ciężko o wiarygodne źródło (wiki polska niemniecka angielska czy hiszpańska się różnią) i to znacząco bo o ile polska informuje że jest katoli około 1.1 miliarda, to już angielska twierdzi że 1.3 (podobnie jak niemiecka czy włoska i hiszpańska) więc kogoś musieliśmy zdyskryminować w naszej wikipedii tymbardziej że zagraniczne podają dane z roku 2015 a polska 2016, ciężko to oszacować, chrześcijan jako tako jest 2 miliardy z kawałkiem, a co za tym idzie w zależności od danych o liczbie ludności około 30% ludzi aktualnie dewastujących ziemię, także nie spłycałbym tego do przejęzycznia językowego, jak sami dobrze wiemy, głupi ludzie takich rzeczy nie robią (włamania, podmiany stron) jakiś zamysł był, czemu padło na te akurat strony, może mają tego samego dostawcę usług hostingowych albo inna korelacja czasowo przestrzenna,bez informacji nie da się sensownie odpowiedzieć na to, kto stoi za atakiem, jak i z jakiego powodu wybrał akurat te cztery strony, pozornie całkiem niezwiązane ze sobą

      Odpowiedz
  • 2019.02.19 07:41 eeeetam

    komu by zależało by tak łechtać polską dumę narodową. jaka znajomosc lokalnych realiow. najlepszy trop to chyba jednak styl komunikatu. w sumie dobrze ze Adam gromadzi tu samozwanczych harytatywnych analitykow – przydadza sie gdy bedzie trzeba myslec nieszablonowo.

    Odpowiedz
  • 2019.02.19 19:34 B.

    I ja zmagam się od wczoraj z atakami z kilku konkretnych adresów IP z Chin. Pierwszy trwał 5 minut.

    Odpowiedz
  • 2019.02.21 15:10 BigzillaDestroyer

    Zbieg okoliczności z konferencją w Warszawie? Myślę że to nasza karma za organizację tej konferencji. Nie zapominajmy że dużo Irańczyków mieszka i uczy się w Polsce ale nadal kochają swój kraj ojczysty.

    Odpowiedz
  • 2019.04.12 20:44 Jedrek

    To akurat prawda, że ta konferencja: „It absolutely has no benefit to the people of Poland.” Jak zwykle nasi deb… politycy dają się dupczyć przez USA i psują dobrą opinię Polski w świecie!

    Odpowiedz

Zostaw odpowiedź do kez87

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Hakerzy zaatakowali polskie witryny podczas konferencji bliskowschodniej w Warszawie

Komentarze