Identificamos nova sequência de ações de desfiguração (30/05) de página pelo(a) hacker Darkron. Dessa vez as desfigurações ocorreram em páginas da Universidade Federal de Rondônia (UNIR).
Foram mais de 90 subdomínios desfigurados num intervalo de menos de uma hora, o que sugere que o atacante escalou privilégios na máquina atacada (endereço IP 200.129.142.16).
As desfigurações foram veiculadas com mensagens contendo manifestação político-ideológica. Elas contém protestos contra o Presidente Temer e sua base política de apoio (#ForaTemer).
D4RKR0N tem demonstrado significativa capacidade técnica ofensiva (já mencionado aqui no Lab). Além disso, o hacker tem vocação hacktivista em suas ações ofensivas, dada a reiteração de mensagens políticas em seus ataques.
Observação
Quanto ao histórico dos subdomínios unir.br, identificamos em 18/08/2017 quatro desfigurações de página (autoria do Protowave Reloaded) ocorridas contra o mesmo endereço IP (200.129.142.16):
- www.dlv.unir.br/uploads/pw.txt
- www.ariquemes.unir.br/uploads/pw.txt
- www.vestibular.unir.br/uploads/pw.txt
- www.historiarolimdemoura.unir.br/uploads/pw.txt
Isso pode sugerir que esse ativo foi/está comprometido desde essa primeira sequência de ocorrências em agosto de 2017.