Dal 2013, molti siti web ufficiali appartenenti a governi di tutto il mondo sono stati hackerati e danneggiati da un hacker che si è auto-identificato come “VandaTheGod”. L’hacker ha preso di mira i governi di numerosi Paesi, tra cui anche l’Italia, in particolare siti della regione Marche.
Molti dei messaggi lasciati sui siti web danneggiati implicavano che gli attacchi erano motivati da un sentimento anti-governativo e sono stati effettuati per combattere le ingiustizie sociali che l’hacker credeva fossero risultato diretto della corruzione del governo. Sebbene la violazione dei siti web governativi abbia dato a VandaTheGod molta attenzione, l’attività dell’aggressore non si limitava a questo ma comprendeva anche il furto di dati di carte di credito e l’esposizione di credenziali personali sensibili.
Esaminando attentamente questi attacchi, i ricercatori di Check Point sono stati in grado di mappare l’attività di VandaTheGod nel corso degli anni e, alla fine, di scoprire la sua vera identità.
Prime informazioni dai social network
La persona che si cela dietro al nickname ‘VandaTheGod‘ ha operato in passato sotto diversi
pseudonimi, come ‘Vanda de Assis‘ o ‘SH1N1NG4M3‘, ed è stata molto attiva sui social media,
principalmente Twitter. Spesso condivideva i risultati dei propri tentativi di hacking con il pubblico.
Al messaggio lasciato da VandaTheGod su siti Web compromessi veniva talvolta aggiunto anche un
link a questo account Twitter, a conferma del fatto che questo profilo era effettivamente gestito
dall’hacker. Molti dei tweet di questo account sono stati scritti in portoghese. Inoltre, l’aggressore ha dichiarato di far parte del “Brasilian Cyber Army ” o ” BCA “, mostrando spesso il logo di BCA in screenshot di account e siti Web compromessi.
VandaTheGod non si è limitato a perseguire siti web governativi, ma ha anche lanciato attacchi
contro personaggi pubblici, università e persino ospedali. In un caso, ha affermato di avere accesso alle cartelle cliniche di 1 milione di pazienti neozelandesi, che sono state messe in vendita per 200
dollari.
Mentre le denunce pubbliche di attività di hacking potrebbero a volte dissuadere un aggressore
dall’inseguire nuovi obiettivi, in questo caso il soggetto sembrava godere dell’attenzione e spesso si
vantava del fatto che le denunce menzionassero i successi di VandaTheGod. Ha anche caricato
alcuni dei video riprendendo la copertura mediatica dei suoi attacchi, sul canale YouTube di
VandaTheGod. La maggior parte degli attacchi di VandaTheGod contro i governi era mossi da motivi politici, ma uno sguardo più attento ad alcuni tweet mostra che l’aggressore cercava anche di raggiungere un obiettivo personale: hackerare un totale di 5.000 siti web.
Secondo i record di Zone-H (un servizio che registra i casi di siti web danneggiati), questo obiettivo è
stato quasi raggiunto, dato che attualmente ci sono 4.820 record di siti web hackerati collegati a
VandaTheGod. Mentre la maggior parte di questi siti web è stata hackerata tramite una scansione
di massa di internet alla ricerca di vulnerabilità note, l’elenco comprende anche numerosi siti web
governativi e accademici, che VandaTheGod sembra aver deliberatamente selezionato.
Chi si cela dietro la maschera?
Il ruolo principale di VandaTheGod in diversi gruppi di hacker, così come il suo amore per la
pubblicità, ha fatto sì che restasse in contatto con gli altri membri della comunità hacker attraverso
numerosi account di social media, account di backup in caso di takedown, indirizzi e-mail, siti web e
altro ancora. Nel corso degli anni, questa attività ci ha lasciato una lunga scia di informazioni su cui
indagare.
Per esempio, i registri di WHOIS per vandathegod.com mostravano come il sito fosse stato
registrato da un individuo in Brasile, più di preciso da Uberlandia, utilizzando l’indirizzo email
fathernazi@gmail.com. Si dà il caso che in passato VandaTheGod abbia affermato di essere un
membro del gruppo di hacker UGNazi. Questo indirizzo email è stato usato per registrare altri siti web come braziliancyberarmy[.]com.
Tuttavia, non è stato l’unico caso in cui i dettagli condivisi online da VandaTheGod hanno fornito
informazioni preziose sulla sua identità. Ad esempio, in alcune schermate condivide dallo stesso hacker è possibile intravedere una pagina di un profilo Facebook con il nome di Vanda De Assis. Sebbene questo profilo non riportasse alcun dettaglio sulla reale identità di VandaTheGod, Check Point ha potuto constatare molte somiglianze tra questo e gli account Twitter gestiti dall’hacker, in quanto lo stesso contenuto era spesso condiviso su entrambe le piattaforme. Tra i vari screenshot condivisi ce ne sono alcuni che evidenziano un utente con le iniziali M.R. A questo punto tramite un’indagine incrociata, i ricercatori di Check Point hanno scoperto che tali iniziali identificavano lo stesso utente possessore del profilo Facebook chiamato Vanda De Assis e del profilo Twitter di VandaTheGod.
Check Point ha riferito questi risultati alle forze dell’ordine competenti. Tutti i profili social descritti
esistono ancora, ma molte delle foto del profilo personale dell’hacker che corrispondono a quelle
condivise dallo pseudonimo di VandaTheGod sono state in seguito cancellate. Inoltre, l’attività su
questi profili si è interrotta verso la fine del 2019 e da allora la persona non ha più pubblicato alcun
aggiornamento.