Desfiguração em Escala – VandaTheGod

Nosso sistema de Monitoramento Avançado Persistente identificou nova sequência de ações de desfiguração de página pelo(a) hacker VandaTheGod, integrante do Brazilian Cyber Army (BCA). Dessa vez as desfigurações ocorreram em páginas dos estados de Goiás, Minas Gerais e Universidade Federal do Maranhão (UFMA).

Foram mais de 25 subdomínios desfigurados num intervalo de 24 horas, o que evidencia a capacidade do(a) hacker em escalar privilégios na máquina atacada (19 desfigurações no endereço IP 200.137.132.35) e conduzir ataques simultâneos contra dois outros alvos.

Deface – VandaTheGod

Detalhe que sugere que os ataques envolveram atividades paralelas são os diferentes templates utilizados para desfiguração.

Deface – VandaTheGod

Detalhe mais engenhoso dos ataques foi utilizar uma terceira página de governo (http://suporte.lages.sc.gov.br/upload/images/image.jpeg) para hospedar a imagem que veicula o semblante do Presidente Michel Temer e a mensagem que o acusa de “golpista”.

As desfigurações foram veiculadas com mensagens contendo manifestação político-ideológica. De protestos contra o Presidente Temer a impunidade proporcionada pela legislação brasileira (a comparação com a Indonésia sugere que o atacante considera leis pátrias muito lenientes).

VandaTheGod e o Brazilian Cyber Army tem demonstrado significativa capacidade técnica ofensiva. Além disso, o grupo parece ter vocação hacktivista em suas ações ofensivas, dada a reiteração de mensagens políticas em seus ataques.

Observação

O histórico do domínio lages.sc.gov.br e seus subdomínios, o sistema de Monitoramento Avançado Persistente identificou em 28/10/2017 uma desfiguração ocorrida no domínio suporte.lages.sc.gov.br, além dezenas de casos de phishings no subdomínio cultura.lages.sc.gov.br (entre 02/2016 e 08/2017), o que sugere que esse ativo foi/está comprometido há muito tempo e pode estar sendo utilizado pelo atacante para outras atividades maliciosas, como repositório de artefatos e proxy, por exemplo.