蛮族入侵!——追踪反华黑客Barbaros-dz
来源:知道创宇 更新时间:2013-08-14

近期,国内云WAF提供商加速乐追踪了一个号称来自阿尔巴尼亚的骇客组织“Barbaros-DZ”,该组织从2012年7月12日至今,不断对中国政府网站进行攻击,目前已经有接近4000个中国政府网站被其入侵,并留下了黑页示威。

据说拉丁文Barbaros是英文barbarian(野蛮人)的词源。而这个“Barbaros-DZ”的所作所为,也确实野蛮粗暴。

以下是“Barbaros-DZ”在zone-h.org提交被攻击的中国政府网站记录:

在百度和谷歌里搜索“Barbaros-DZ was here”,目前仍旧有大量的网站未被修复,黑页仍然可以访问。

根据搜索结果分析,目前遭遇Barbaros-DZ攻击的网站处于以下三种情况之一:

1、首页直接被篡改;

2、部分网站并没有真正意义上的被篡改,Barbaros-DZ仅仅是利用网站本身的漏洞得到了后台权限,利用后台的功能在网站中添加了一些挑衅的记录;

3、个别网站甚至连管理员权限都没有拿到,Barbaros-DZ仅是注册了一个帐号,在帐号公开信息部分中加入了挑衅中国政府的语句,如图:

从这三种攻击手法可知,Barbaros-DZ针对性很强,甚至到了滥竽充数的地步,其手段也仅仅停留在挂黑页阶段。

关于Barbaros-DZ攻击中国网站,在国外新闻网也有相应的报道《Four Chinese Government Websites Hacked by Barbaros-DZ》(http://news.softpedia.com/news/Four-Chinese-Government-Websites-Hacked-by-Barbaros-DZ-331399.shtml)

而以下的这篇报道中,则揭露了Barbaros-DZ攻击中国政府网站的原因:

“I'm attacking Chinese sites because they are corrupt. Look at them, they think that money is important in the world. That’s wrong. They don't understand what freedom and love is [important]”

“The Chinese country is a rich country, with much people, but much people only want much money”

同样,攻击者也公布了攻击手法:

“I use the LFI/RFI method to injecting, and then I upload my shell to deface the site”(我用了本地文件包含和远程文件包含漏洞,上传了我的webshell。)

加速乐安全团队根据黑页中的信息,对这起大规模攻击做了一次跟踪。在被黑的页面中,漂浮着一张阿尔及利亚国的国旗,从而也说明了攻击者所在国家。另外,黑页下方还列出了参与攻击的ID:

“Greetz: Bb0yH4cK3r_Dz | BOB_Dz | Dz Mafia | HTC 28 DZ | Kader11000Ked Ans | Smail002 | TiGER-M@TE | The-DarKKn!ght | x00t | yasMouh”。

在页面底部还留有一个Email:barbaros@live.ru。最后写了一句“To be continued...”嚣张地告诉我们,攻击还会持续。

起初我们认为“Barbaros-DZ”是一个团队(事实上很多报道中,Barbaros-DZ也被报道成黑客团队),于是在列举的ID中,挑选了第一个ID——“Bb0yH4cK3r_Dz”做了调查。而后来却发现“Barbaros-DZ”不是一个组织名,而是一个人的ID。

首先找到的是Bb0yH4cK3r_Dz的Twitter帐号(https://twitter.com/Bb0yH4cK3r_Dz):

他发的推文中,粗鲁地说了一句“SLamAlykomi Am !-Bb0yH4cK3r_Dz-! , Am Algerian Muslim Hacker and i Want To Join Ur Group :D Fuck France”,表明了他对法国的厌恶。

并且他写过一些攻击脚本,这些脚本中留下了他的电子邮件。

利用这些信息,又找到他经常活跃在www.alboraaq.com这个黑客论坛上:

而后又发现他攻击的一个网站(http://lojadamaquina.com.br/)并篡改了主页。

这个黑页中,说明了这是一次有组织的攻击,来自于www.is-sec.org的黑客组织所为。随后找到了该组织的主页:

经过对页面的翻译,确定该组织是一个信仰伊斯兰教的黑客组织,并且加入该组织的条件是要信仰伊斯兰教,而Bb0yH4cK3r_Dz正好是这里的成员,所以他可能是伊斯兰教教徒。

这个组织同时还有电话,以及服务,说明可能是一个营利性团队。

之后,又在另外一个黑客组织“h4x0rteam”(http://h4x0rteam.go.ro/)找到了他,说明此人同时身处多个黑客组织。

这个组织的网页列出了所有成员名单。在这个列表中,除了找到Bb0yH4cK3r_Dz,更值得注意的是他旁边的ID——Barbaros-DZ!这说明“Barbaros-DZ”很可能不是一个组织名,而是一个人的ID。

仔细看Bb0yH4cK3r_Dz和Barbaros-DZ这两个ID,他们共同点都以“_Dz”结尾,于是去掉这个后缀进行搜索,找到一个被黑的政府网站:http://www.yc-zx.gov.cn/admin/Review.asp?work=type&id=198。这个黑页的标题是“Hacked by BarbarOS”,而这个黑页是个人所为,再次说明了这个“Barbaros-DZ!”并非组织名,而是一个人的ID。接下来又在Wordpress里找到他注册的博客——http://barbarosdz.wordpress.com/。顺着这些线索,又找到他另外一个博客:http://barbaros-dz.blogspot.kr/。

这个博客页面虽然和黑页差不多,但似乎不是一个黑页,并且在这个页面上有一个Facebook帐号,其地址为:http://www.facebook.com/pages/0RG4N4-H4CK3R-P3K4NB4RU/423553157681621

根据他的Facebook介绍,此人还创办了一个黑客网站:http://pekanbarucyberteam.p.ht/index.php

在另外一个网站,又找到了一张照片,标题为“BaRBaRoSHaCKeR”(http://clas.blogcu.com/barbaros-hacker/113735),此疑是他的照片:

用这张照片和那个Facebook帐号的头像做对比,看上去还真有点相像:

根据这些信息,证明Barbaros就是那个不断用黑客行为挑衅中国的人。截至目前,zone-h.org上已有3700个左右被黑的中国网站被他提交,而实际上还有很多没有提交到zone-h.org上,并且攻击仍在继续中。