Una cosa es que los hackers apunten a sitios web y lo anuncien con orgullo en las plataformas de redes sociales para que todos lo vean. Sin embargo, es algo completamente diferente dejar un rastro digital que lleve a los investigadores de ciberseguridad directamente a sus puertas.
Eso es exactamente lo que sucedió en el caso de un hacktivista bajo el nombre de VandaTheGod, quien ha sido atribuido a una serie de ataques a sitios web del gobierno desde julio de 2019.
En un informe compartido con The Hacker News, investigadores de Check Point dijeron que pudieron mapear la actividad de VandaTheGod a lo largo de los años, y eventualmente reducir la identidad real del atacante a un individuo brasileño de la ciudad de Uberlândia.
La firma de ciberseguridad dijo que notificó a las autoridades policiales interesadas sus hallazgos para una acción adicional, y agregó que las actividades de las redes sociales en los perfiles asociados con VandaTheGod se detuvieron hacia fines de 2019.
Un largo recorrido en las redes sociales
VandaTheGod tiene una larga historia de perseguir sitios web gubernamentales, universidades y proveedores de atención médica. En particular, el atacante afirmó haber violado la base de datos de Tū Ora Compass Health de Nueva Zelanda y ofreció detalles médicos de un millón de pacientes a la venta en Twitter en octubre pasado.
El pirata informático en cuestión, supuestamente parte del " Ejército Cibernético Brasileño " ( BCA ), también ha destrozado docenas de sitios web para difundir mensajes antigubernamentales , además de mostrar el logotipo de BCA en capturas de pantalla de cuentas y sitios web comprometidos.
"Muchos de los mensajes que se dejaron en los sitios web implicaron que los ataques fueron motivados por un sentimiento antigubernamental y se llevaron a cabo para combatir las injusticias sociales que el delincuente informático creía que eran un resultado directo de la corrupción gubernamental", dijeron los investigadores.
Lo que es más, una línea de tiempo de los tweets de VandaTheGod muestra que la persona disfrutó de la atención de los informes de los medios que mencionan los esfuerzos de piratería, incluso hasta el punto de afirmar que " Dejaré de piratear sitios web" una vez que el total llegue a 5,000.
"VandaTheGod no solo persiguió los sitios web del gobierno, sino que también lanzó ataques contra figuras públicas, universidades e incluso hospitales. En un caso, el atacante afirmó tener acceso a los registros médicos de 1 millón de pacientes de Nueva Zelanda, que fueron ofrecidos a la venta por $ 200 ", dijeron los investigadores.
Según los registros de Zone-H , un portal de seguridad que contiene un archivo de todas las intrusiones en la web, actualmente hay 4.820 entradas de sitios web pirateados vinculados a VandaTheGod, la mayoría de los cuales pertenecen a personas y entidades en los Estados Unidos, Australia, Países Bajos, Italia, Sudáfrica, Canadá, Reino Unido y Alemania.
Check Point dijo que trabajaron rastreando la información de WHOIS del dominio "VandaTheGod.com", que los condujo a una dirección de correo electrónico ("fathernazi@gmail.com") que se utilizó para registrar otros sitios web, como "braziliancyberarmy.com ".
Pero lo que finalmente reveló la verdadera identidad de VandaTheGod fueron un par de capturas de pantalla que se cargaron en Twitter, de las cuales los investigadores identificaron un perfil de Facebook que pertenecía al atacante ("Vanda De Assis"), así como el nombre real de la persona, identificado solo por el iniciales MR
Por consiguiente, los investigadores dijeron que pudieron identificar una serie de publicaciones cruzadas entre el perfil de Facebook vinculado a MR y el de Vanda De Assis, incluidas fotos de la sala de estar del individuo, lo que demuestra que tanto las cuentas MR y VandaTheGod estaban controladas por el mismo individuo.
"VandaTheGod logró llevar a cabo muchos ataques de piratería, pero finalmente fracasó desde la perspectiva de OPSEC, ya que dejó muchos rastros que condujeron a su verdadera identidad, especialmente al comienzo de su carrera de piratería", concluyeron los investigadores de Check Point.
"Finalmente, pudimos conectar la identidad de VandaTheGod con gran certeza a un individuo brasileño específico de la ciudad de Uberlândia, y transmitir nuestros hallazgos a las fuerzas del orden público para que puedan tomar más medidas".
