Identificamos (02/06) nova sequência de ações de desfiguração de página pelo hacker lost3r (do grupo CyberTeam). Dessa vez as desfigurações ocorreram em páginas de municípios do estado de Goiás.
Foram 10 páginas desfiguradas no mesmo endereço IP 162.144.73.76, o que sugere que o hacker escalou privilégios na máquina atacada.
As desfigurações foram veiculadas com mensagens contendo manifestação político-ideológica. Contém protestos contra o Presidente Temer (#ForaTemeresuaBancada) e clamando pela intervenção das Forças Armadas (#IntervençãoMilitarJá):
Política anacrônica e políticos corruptos produzem pobreza
esse é o BRASIL que vivemos hoje que se preocupa apenas em formar consumidores vorazes e ignorantes tornando o povo verdadeiros escravos do sistema financeiro onde só prospera banqueiros.
A mensagem veiculada pelo grupo, ao pedir pela intervenção militar, diverge do conteúdo habitualmente manifestado pelo CyberTeam.
- Em desfiguração em escala contra páginas do estado da Paraíba o grupo indicou que “deface é arte” (14/04),
- Em desfiguração do site do PRP o grupo asseverou desfigurar apenas por diversão (16/04),
- Em desfiguração ao site do PT o grupo veiculou mensagem política de apoio a grave geral e a #OpCaminhoneiros (25/05),
Diferentes integrantes do grupo podem possuir posições político-ideológicas distintas, o que parece ser o caso no CyberTeam, o que não invalida sua manifestação.
O pedido pela #IntervençãoMilitarJá é uma manifestação pouco frequente em desfigurações de página com conteúdo hacktivista. A maioria tem veiculado mensagens de protesto contra o Presidente Michel Temer (#ForaTemer).
Considerando o amplo histórico do grupo CyberTeam, o qual inclui capacidade de escalada de privilégios em diferentes ocasiões, e a sua recente inclinação por ações hacktivistas (25/05 e 02/06), é possível inferir que o grupo tem uma agenda ideológica para o período eleitoral em 2018.
Observação
O histórico do domínio jaragua.go.gov.br e seus subdomínios identificou em 10/12/2013 uma desfiguração ocorrida no página principal, além de três casos de phishings (entre 06/2016 e 09/2016), o que sugere que esse ativo foi/está comprometido há muito tempo.