Showing posts with label YouTube. Show all posts
Showing posts with label YouTube. Show all posts

Friday, September 28, 2012

Dissecting 'Operation Ababil' - an OSINT Analysis

Provoked by a questionable online video posted on YouTube, Muslims from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world united in an apparent opt-in botnet crowdsourcing campaign aiming to launch a DDoS (denial of service attack) against YouTube for keeping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video online, and against several major U.S banks and financial institutions.

Dubbed "Operation Ababil", and operated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Izz ad-Din al-Qassam a.k.a Qassam Cyber Fighters , cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaign appear to have had a limited, but highly visible impact on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 targeted web sites. Just like in every ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r crowdsourced opt-in botnet campaign such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Coordinated Russia vs Georgia cyber attack in progress", cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Iranian opposition launches organized cyber attack against pro-Ahmadinejad sites", cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Electronic Jihad v3.0 - What Cyber Jihad Isn't" campaign, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "The DDoS Attack Against CNN.com" campaign, political sentiments over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attribution element seem to have orbited around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 notion that it was nation-sponsored by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Iranian government.

What's so special about this attack? Did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individuals behind it poses sophisticated hacking or coding abilities? Was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work of hacktivists crowdsourcing bandwidth, or was it actually sponsored by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Iranian government? Can we even talk about attack attribution given that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 group claiming responsibility for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks doesn't have a strong digital fingerprint?

In this post, I'll perform an OSINT (open source intelligence) analysis aiming to expose one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individuals part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 group that organized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaign, spread cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir propaganda message to as many Muslim Facebook groups as possible, and actually claim responsibility for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y took place.

The campaign originally began with a message left on Pastebin.com by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Qassam Cyber Fighters group announcing "Operation Ababil":


The original message left is as follows:
"Operation Ababil, The second weekIn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous announcements we stated that we will not tolerate insulting exalted character of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prophet of mercy and kindness. Due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insult, we planned and accomplished a series of cyber operations against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insulting country's credit and financial centers.Some U.S. officials tried to divert people's attention from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject and claimed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main aim of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operation was not deal to insults but it had ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r intentions. 

The officials claimed that certain countries have taken cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se measures to solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir internal problems.We strongly reject cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 American officials' insidious attempts to deceive public opinion. We declare that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kindness and love of Muslims and free-minded people of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 great prophet of Islam is much more than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir violent anger be deflected and controlled by such deceptive tricks.Insult to a prophet is not acceptable especially when it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Last prophet Muhammad (Peace Be upon Him). 

So as we promised before, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack will be continued until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 removal of that sacrilegious movie from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet.Therefore, we suggest a Timetable for this week attacks. Knowing which times cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 banks and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r targets are out of service, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customers of targeted sites also can manage to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir jobs as well and have a rest while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specific organization is under attack.We shall attack for 8 hours daily, starting at 2:30 PM GMT, every day. 

We repeat again cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks will continue for sure till cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 removal of that sacrilegious movie.We invite all cyberspace workers to join us in this Proper Act. If America's arrogant government do not submit, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack will be large and larger and will include ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r evil countries like Israel, French and U.Kingdom indeed.Tuesday 9/25/2012 : attack to Wells Fargo site, www.wellsfargo.comWednesday 9/26/2012 : attack to U.S. Bank site, www.usbank.comThursday 9/27/2012 : attack to PNC site, www.pnc.com Weekends: planning for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next week' attacks.Mrt. Izz ad-Din al-Qassam Cyber Fighters"

Periodically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 group also released update notes for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaigns currently taking place:


The original message published is as follows:
"Operation Ababil" started over BoA :http://pastebin.com/mCHia4W5 http://pastebin.com/wMma9zyGIn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second step we attacked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 largest bank of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 united states, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "chase" bank. These series of attacks will continue untill cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Erasing of that nasty movie from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet.The site "www.chase.com" is down and also Online banking at "chaseonline.chase.com" is being decided to be Offline !Down with modern infidels.### Cyber fighters of Izz ad-din Al qassam ###"

Second statement released by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 group:


The original message published is as follows:
"Dear Muslim youths, Muslims Nations and are noblemenWhen Arab nations rose against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir corrupt regimes (those who support Zionist regime) at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand when, Crucify infidels are terrified and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are no more supporting human rights. United States of America with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 help of Zionist Regime made a Sacrilegious movie insulting all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 religions not only Islam.All cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Muslims worldwide must unify and Stand against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 action, Muslims must do whatever is necessary to stop spreading this movie. 

We will attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for this insult with all we have.All cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Muslim youths who are active in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber world will attack to American and Zionist Web bases as much as needed such that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are sorry about that insult.We, Cyber fighters of Izz ad-din Al qassam will attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bank of America and New York Stock Exchange for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first step. These Targets are properties of American-Zionist Capitalists. This attack will be started today at 2 pm. GMT. This attack will continue till cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Erasing of that nasty movie. Beware this attack can vary in type. Down with modern infidels."

Clearly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 group behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaigns aimed to deliver concise propaganda to prospective Internet connected users who would later on be instructed on how to participate in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DDoS attacks. Let's assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 distributed DDoS tool that was used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaign.

Sample screenshot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DDoS script in Arabic:


Inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .html file, we can see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are only three web addresses that will be targeted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir campaign:


Detection rate for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DDoS script:
youtube.html - MD5: c3fd7601b4aefe70e4a8f6d73bf5c997
Detected by 6 out of 43 antivirus scanners as HTool-Loic; Hacktool.Generic; TROJ_GEN.F47V0924

Originally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack relied on a static recruitment message which included links to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DIY DDoS script located on 4shared.com and Mediafire.com. What's particularly interesting is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files were uploaded by a user going under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 handle of "Marzi Mahdavi II". It's important to point out that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se static links were distributed as part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recruitment campaign across multiple Muslim-friendly Facebook groups.
Thanks to this fact, we could easily identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's Facebook account, and actually spot cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original message seeking participation in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 upcoming attacks.

Marzi Mahdavi II's Facebook account:


Sample shared Wall post seeking participation in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 upcoming DDoS campaign:


Sample blog post enticing users to participate:


Marzi Mahdavi II has once referenced a link pointing to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same blog, clearly indicating that he's following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ongoing recruitment campaigns across multiple Web sites:

Second blog post enticing users to participate in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DDoS campaign:


This very latest example of Iran's hacktivist community understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber operations, once again lead me to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conclusion that what we've got here is eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that Iran's hacktivist community is lacking behind with years compared to sophisticated Eastern European hacking teams and cybercrime-friendly communities, or that Iran is on purposely demonstrating low cyber operation capabilities in an attempt to trick cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Western world into thinking that it's still in a "catch up mode" with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world when it comes to offensive cyber operations.

Did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se coordinated DDoS campaigns actually had any impact on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 targered web sites? According to data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Host-Tracker, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y seem to have achieved limited, but visible results, a racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r surprising fact given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 low profile DDoS script released by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaigners.

Sample Host-Tracker report for a targeted web site during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaign:


Second Host-Tracker report for a targeted web site during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaign:





Third Host-Tracker report for a targeted web site during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaign:
 


Fourth Host-Tracker report for a targeted web site during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaign:





Fifth Host-Tracker report for a targeted web site during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaign: 

  

Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Iranian government really behind this campaign, or was it actually cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work of amateurs with outdated and virtually irrelevant technical skills? Taking into consideration cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous DDoS campaign launched by Iranian hacktivists in 2009, in this very latest one we once again see a racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r limited understanding of cyber operations taking into consideration cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 centralized nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chain of command in this group.

What's also worth pointing out is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first public appearance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 group that claims responsibility for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se attacks. Considering this and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of a strong digital fingerprint for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 group in question, virtually anyone on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet can engineer cyber warfare tensions between Iran and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S, by basically impersonating a what's believed to be an Iranian group.

This post has been reproduced from Dancho Danchev's blog. Follow him on Twitter.