近期,国内云WAF提供商加速乐追踪了一个号称来自阿尔巴尼亚的骇客组织“Barbaros-DZ”,该组织从2012年7月12日至今,不断对中国政府网站进行攻击,目前已经有接近4000个中国政府网站被其入侵,并留下了黑页示威。
据说拉丁文Barbaros是英文barbarian(野蛮人)的词源。而这个“Barbaros-DZ”的所作所为,也确实野蛮粗暴。
以下是“Barbaros-DZ”在zone-h.org提交被攻击的中国政府网站记录:
在百度和谷歌里搜索“Barbaros-DZ was here”,目前仍旧有大量的网站未被修复,黑页仍然可以访问。
根据搜索结果分析,目前遭遇Barbaros-DZ攻击的网站处于以下三种情况之一:
1、首页直接被篡改;
2、部分网站并没有真正意义上的被篡改,Barbaros-DZ仅仅是利用网站本身的漏洞得到了后台权限,利用后台的功能在网站中添加了一些挑衅的记录;
3、个别网站甚至连管理员权限都没有拿到,Barbaros-DZ仅是注册了一个帐号,在帐号公开信息部分中加入了挑衅中国政府的语句,如图:
从这三种攻击手法可知,Barbaros-DZ针对性很强,甚至到了滥竽充数的地步,其手段也仅仅停留在挂黑页阶段。
关于Barbaros-DZ攻击中国网站,在国外新闻网也有相应的报道《Four Chinese Government Websites Hacked by Barbaros-DZ》(http://news.softpedia.com/news/Four-Chinese-Government-Websites-Hacked-by-Barbaros-DZ-331399.shtml)
而以下的这篇报道中,则揭露了Barbaros-DZ攻击中国政府网站的原因:
“I'm attacking Chinese sites because they are corrupt. Look at them, they think that money is important in the world. That’s wrong. They don't understand what freedom and love is [important]”
“The Chinese country is a rich country, with much people, but much people only want much money”
同样,攻击者也公布了攻击手法:
“I use the LFI/RFI method to injecting, and then I upload my shell to deface the site”(我用了本地文件包含和远程文件包含漏洞,上传了我的webshell。)
加速乐安全团队根据黑页中的信息,对这起大规模攻击做了一次跟踪。在被黑的页面中,漂浮着一张阿尔及利亚国的国旗,从而也说明了攻击者所在国家。另外,黑页下方还列出了参与攻击的ID:
“Greetz: Bb0yH4cK3r_Dz | BOB_Dz | Dz Mafia | HTC 28 DZ | Kader11000Ked Ans | Smail002 | TiGER-M@TE | The-DarKKn!ght | x00t | yasMouh”。
在页面底部还留有一个Email:barbaros@live.ru。最后写了一句“To be continued...”嚣张地告诉我们,攻击还会持续。
起初我们认为“Barbaros-DZ”是一个团队(事实上很多报道中,Barbaros-DZ也被报道成黑客团队),于是在列举的ID中,挑选了第一个ID——“Bb0yH4cK3r_Dz”做了调查。而后来却发现“Barbaros-DZ”不是一个组织名,而是一个人的ID。
首先找到的是Bb0yH4cK3r_Dz的Twitter帐号(https://twitter.com/Bb0yH4cK3r_Dz):
他发的推文中,粗鲁地说了一句“SLamAlykomi Am !-Bb0yH4cK3r_Dz-! , Am Algerian Muslim Hacker and i Want To Join Ur Group :D Fuck France”,表明了他对法国的厌恶。
并且他写过一些攻击脚本,这些脚本中留下了他的电子邮件。
利用这些信息,又找到他经常活跃在www.alboraaq.com这个黑客论坛上:
而后又发现他攻击的一个网站(http://lojadamaquina.com.br/)并篡改了主页。
这个黑页中,说明了这是一次有组织的攻击,来自于www.is-sec.org的黑客组织所为。随后找到了该组织的主页:
经过对页面的翻译,确定该组织是一个信仰伊斯兰教的黑客组织,并且加入该组织的条件是要信仰伊斯兰教,而Bb0yH4cK3r_Dz正好是这里的成员,所以他可能是伊斯兰教教徒。
这个组织同时还有电话,以及服务,说明可能是一个营利性团队。
之后,又在另外一个黑客组织“h4x0rteam”(http://h4x0rteam.go.ro/)找到了他,说明此人同时身处多个黑客组织。
这个组织的网页列出了所有成员名单。在这个列表中,除了找到Bb0yH4cK3r_Dz,更值得注意的是他旁边的ID——Barbaros-DZ!这说明“Barbaros-DZ”很可能不是一个组织名,而是一个人的ID。
仔细看Bb0yH4cK3r_Dz和Barbaros-DZ这两个ID,他们共同点都以“_Dz”结尾,于是去掉这个后缀进行搜索,找到一个被黑的政府网站:http://www.yc-zx.gov.cn/admin/Review.asp?work=type&id=198。这个黑页的标题是“Hacked by BarbarOS”,而这个黑页是个人所为,再次说明了这个“Barbaros-DZ!”并非组织名,而是一个人的ID。接下来又在Wordpress里找到他注册的博客——http://barbarosdz.wordpress.com/。顺着这些线索,又找到他另外一个博客:http://barbaros-dz.blogspot.kr/。
这个博客页面虽然和黑页差不多,但似乎不是一个黑页,并且在这个页面上有一个Facebook帐号,其地址为:http://www.facebook.com/pages/0RG4N4-H4CK3R-P3K4NB4RU/423553157681621
根据他的Facebook介绍,此人还创办了一个黑客网站:http://pekanbarucyberteam.p.ht/index.php
在另外一个网站,又找到了一张照片,标题为“BaRBaRoSHaCKeR”(http://clas.blogcu.com/barbaros-hacker/113735),此疑是他的照片:
用这张照片和那个Facebook帐号的头像做对比,看上去还真有点相像:
根据这些信息,证明Barbaros就是那个不断用黑客行为挑衅中国的人。截至目前,zone-h.org上已有3700个左右被黑的中国网站被他提交,而实际上还有很多没有提交到zone-h.org上,并且攻击仍在继续中。