Início > Segurança > [Relato] Operação Payback (pró WikiLeaks)

[Relato] Operação Payback (pró WikiLeaks)

8 de Dezembro de 2010 Deixe um comentário Go to comments

Para quem não sabe, o grupo de hackers por detrás da Operação Payback está a convocar utilizadores para descarregarem e instalarem software, preparando os computadores para auxiliarem ataques às organizações que pretendem silenciar o site.

Em geral, é tirado proveito de botnets para executar ataques de negação de serviço (DDoS, na sigla em inglês). Desta vez, no entanto, a situação é outra, como explica a especialista: “Eles estão a recrutar pessoas da sua própria rede”.
Por outras palavras, em vez de apenas aproveitar o poder combinado dos computadores infectados o grupo hacker está procura utilizadores que, espontaneamente, participem nos DDoS, dispostos a fazer com que diversas organizações paguem pelo possível silêncio do WikiLeaks.

Agora a história contada não em realtime mas vou fazer por manter isto actualizado o mais rápido possível!

07-12-2010

15:25 – Grupos Hackers pró-Wikileaks mobilizam-se numa operação denominada “PayBack” com a finalidade de derrubar diversas instituições que boicotaram o financiamento ao Wikileaks.
16:15 – Até o momento, o grupo conseguiu derrubar o site do Ministério Público Sueco: http://www.aklargare.se/; http://postfinance.ch; Além do Paypal.
16:45 – Um blog informativo do anti-vírus Panda também é alvo de ataques após divulgar relatórios dos ataques: http://pandalabs.pandasecurity.com/ Resultados em breve!

17:15 – Informações do Relatório:
Os ataques DDoS estão voando em toda a Internet como se não houvesse amanhã. Há poucos dias atrás, uma operação hacktivist sob a alça “th3j35t3r” decidiu sozinho derrubar o site Wikileaks com uma ferramenta de negação de sua própria autoria. O mesmo emitiu um comunicado no Twitter logo após explicar que os ataques contra o site WikiLeaks foram feitos para “tentar pôr em perigo as vidas de nossas tropas, “outros activos” e relações exteriores”. Segundo as nossas estatísticas, os seus ataques resultaram num dia, 3 horas e 50 minutos de inactividade para o WikiLeaks antes do site ser completamente posto offline pela Amazon e EveryDNS .
Do outro lado do espectro de ataque, os atacantes anónimos envolvidos na Operação Payback prometeram fazer uma pausa temporária do seu mega-assalto à indústria do entretenimento, a fim de passar algum tempo a auxiliar o WikiLeaks e o seu primeiro ataque foi definido no PayPal, após a companhia Norte-Americana ter fechado as portas no WikiLeaks citando uma violação AUP .
A PayPal emitiu a seguinte declaração no seu blog:

“O PayPal restringiu permanentemente a conta usada pelo WikiLeaks devido a uma violação da Política de Utilização Aceitável PayPal, que afirma que o nosso serviço de pagamento não pode ser usado para qualquer actividade que incentive, promova, facilite ou instrua outros para se envolver em actividades ilegais ”

Pouco depois do anúncio do PayPal, um Anónimo decidiu que o Blog do PayPal seria o seu primeiro destino em contra-ataques DDoS dos anti-Wikileaks relacionados.

As declarações a seguir foram lançadas numa conta no Twitter Anónimo :

“TANGO DOWN — thepaypalblog.com —  do PayPal, empresa que tem restringido o acesso a Wikileaks “financiamento. Blog Paypal # # Wikileaks WL # # DDoS “

“Feche as contas  # Paypal à luz do flagrante desvio de poder para desactivar parcialmente Wikileaks # financiamento. Junte-se à DDoS # se você quiser ”


Um Anónimo tinha que dizer isto em relação à mudança temporária em foco,

“Enquanto não temos muita afinidade com WikiLeaks, lutamos para o mesmo: queremos transparência (no nosso caso, os direitos de autor) e somos contra a censura. As tentativas de silenciar o WikiLeaks são passos largos para um mundo onde não podemos dizer o que pensamos e não exprimir o que sentimos.  Não podemos deixar que isto aconteça, é por isso que vamos descobrir quem está a atacar o WikiLeaks e com isso descobrir quem tenta controlar o nosso mundo.  O que vamos fazer quando os encontrar?  Excepto para o utilizador DDoSing, a palavra será repartida a quem tenta silenciar ou desencorajar WikiLeaks, favorece a dominação do mundo em vez da liberdade e democracia “.

O Anónimo lançou o seu segundo ataque contra o site principal do PayPal. Minutos depois anunciaram o lançamento do ataque, a sua infra-estrutura (do Paypal) começou a dar sinais. O site não estava disponível e presumivelmente sob o ataque DDoS.
Também derrubaram o site do banco postfinance.ch,  que negou doações a Julian Assange. O site está down até agora.
Este DDoS é um dos primeiros ataques bem sucedidos numa instituição financeira e está a tornar-se incomodo a clientes que fazem negócios com a empresa. Um outro utilizador no Twitter: #payback can you stop the DDoS on postfinance for 10 minutes so that I can bank please? pretty please?
O alvo agora é http://aklagare.se, os promotores suecos. O site caiu instantaneamente após o alvo ser seleccionado com mais de 500 computadores no botnet voluntário a atacar o site de uma vez!

22:10 -Mensagem no Twitter

TARGET: http://www.aklagare.se | Setup : http://pastehtml.com/view/1c8i33u.html and FIRE NOW!!! #ddos #payback #wikileaks

Mais explícito não pode ser!

08-12-2010

01:20 – Alvo: http://lieberman.senate.gov

Decidi ver como as coisas se processavam em termos organizativos do ataque, isto está bem montado…vários admins, vários utilizadores e de todo o mundo…um movimento que vai dar que falar!
E atenção que existem rumores e pedidos para entidades como: VISA e a API da Paypal, imaginem só se são bem sucedidos!

Um excerto só de algumas escritas, isto é uma loucura, nem dá para acompanhar a conversa:

(01:23:09) XXX: Visa is not going down instantly, it’ll take a day of recruiting once we start the LOIC on it: But we need to start LOIC
(01:23:38) XXX: Visa, we need to get the IPs of the authorization servers. Not their website
(01:24:33) XXX: We need some people who can find out the server info for Visa
(01:24:42) XXX: visa and paypal
(01:24:45) XXX: thats what needs to be taken down
(01:25:09) XXX: visa has different ips in function of localization
(01:25:42) XXX: VISA.COM is 72.46.234.158
(01:27:55) XXX: TARGET CHANGE
(01:30:18) XXX: shit is gonna GET HOT

01:35 XPTO has changed the topic to: OPERATION PAYBACK | TARGET: e-finance.postfinance.ch (subnets exteriores à Suiça não têm acesso, andam atentos…)

Até já se aproveitam recursos das escolas! (01:37:00) XPTO: how much resources would it take to take down PayPal og MasterCard? Cause there is a pretty good fibrel network at my college

01:55 DNS resolve

Já fazem resolução a nomes, com o seguinte resultado:

(01:54:50) xxx: blog.visa.com. 300 IN A 67.221.228.62
(01:54:50) kxx: mail.visa.com. 300 IN CNAME webmail.register.com.
(01:54:50) xxx: webmail.register.com. 60 IN CNAME webmail02.register.com.
(01:54:50) xxx: webmail02.register.com. 60 IN A 208.89.132.33
(01:54:50) xxx: members.visa.com. 300 IN A 72.46.234.153

08:30 – Facto estranho no Interpol

às 8:30 tudo ok no site da Interpol, alguns a pedir mudança de alvo, para ser a Interpol mas tudo estava normal…passados 2 minutos está down!

8:35 – Ataque ao Paypal não é viável (por um dos líderes)

1) Paypal is NOT viable. Cloud-hosting + geo-location = DDoSfail
2) Interpol is viable, but yeah, there’s an added risk of v&, but we’ve hit US gov before.

9:00 – Inicios do ataque ao Mastercard.com

9:40 – Mastercard oficialmente em baixo

http://www.mastercard.com/ is DOWN! #ddos #wikileaks Operation:Payback (is a bitch!) #PAYBACK

9:40 até 00:00 – Alvo Mastercard

O website do Mastercard foi todo o dia o visado e se haviam pessoas a pensar que não haveriam danos pois os servidores de autenticação/transacção não eram os alvos, enganem-se pois recebi uma mensagem de um serviço onde:

There have been reports today of service disruptions with MasterCard SecureCode. As such, some of your customers may find it difficult to use Mastercard SecureCode to complete their payment.

Nothing has been confirmed to us by Mastercard, however we’ll continue to post updates on our monitor page, as we find out more.

Please note you will need to sign-in to the XXX website to access the monitor page.

Afinal parte do objectivo foi alcançado pela equipa e voluntários mas algo de muito grande ainda está para vir. O nº de clientes na BOTNET alcançou mais de 2200 voluntários e neste momento (00:18) estão 1700 no chamado hivemind (controlo de cada atacante mediante um bot de IRC).

De facto nem tudo o dinheiro pode comprar, digo e repito muitas vezes! Estamos a ver, sobretudo, uma guerra entre cidadãos e governos, nada poderá parar os milhares de pessoas que lutam pela causa que defendem…é que é em todo o mundo!

09-12-2010

00:10 – Novo alvo, VISA!

00:56 – Paypal irá libertar os fundos da conta do Assange

Em comunicado no seu blog oficial, a Paypal irá libertar os fundos da conta do Assange, fundador do WikiLeaks. Desculpem a expressão mas: “quem tem cú, tem medo”!

“While the account will remain restricted, PayPal will release all remaining funds in the account to the foundation that was raising funds for WikiLeaks.”

—-

A história toda até agora resumida num vídeo vindo de Taiwan 🙂

—-

01:49 – A guerra aquece e os hackivistas lançam na web uma lista de números de cartões Mastercard

São mostrados os números e datas de expiração, os nomes não (por enquanto). Ler na íntegra (EN).

01:55 – Grupo de hackers alemão angaria 750.000 euros de fundos destinados ao WikiLeaks! (na íntegra)

02:40 – Restam 20 minutos para o ataque ao Paypal se iniciar

Next Target: http://www.paypal.com ETA: 20 minutes! Get ready! #ddos#wikileaks#payback

03:11 – Os tais cartões Mastercard, alguns deles: http://pastebin.com/h3aW4p5B

11:05 – Mastercard em baixo e alvo actual: api.paypal.com

O alvo actual poderá gerar bastante prejuízo para a empresa Paypal e seus clientes, isto porque é a porta para milhões de websites para transacções online.
A mensagem da equipa é clara: “The target has changed. We are now attacking api.paypal.com, port 443. Grab your LOICs and fire. We will not surrender.”

Mesmo com o VISA existem erros como: “Visa.com: ‘An error occurred while processing your request. Reference #97.5adfe3c.1291892703.42a57ea'”

A situação está completamente fora de controlo das entidades inimigas do WikiLeaks e a força dos voluntários na causa cresce de dia para dia. O acréscimo resulta de vários factores, sobretudo a cobertura de vários blogs e sobretudo media tradicional, apesar de que nas TVs não se veja grande coisa sobre o assunto (medo? censura política?).

11:15 – a marca de 1289 mirrors do WikiLeaks

A lista de mirrors do Wikileaks cresce a olhos vistos, neste momento existem 1289 sites: http://www.wikileaks.org.rs/mirrors.html

11:57 – Ataques sem cliente LOIC, por HTTP!! http://3rl.me/YANA

13:55 – Manifesto de hoje pela equipa líder do ataque:

23:48 – Palavras de solidariedade do Lula da Silva:

10-12-2010

00:12 – Painel de notícias “hacktivistas”: http://hacktivists.org/ (um local onde ficará informado, em tempo real, das novidades desta guerra)

13-12-2010

Após 3 dias sem relatar nada de novo, a razão de tal é simples: muita informação sobre o assunto e pouco tempo disponível para compilar o mais importante…e fim de semana com pouco tempo de horas a navegar 🙂

Anúncios
Categorias:Segurança Etiquetas:, ,
  1. Ainda sem comentários.
  1. No trackbacks yet.

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s

%d bloggers like this: