OSINT

OSINT jako uniwersalne narzędzie – od identyfikowania trolli po łapanie hakerów

OSINT (czyli open- source intelligence) to tak zwany biały wywiad. Polega on na wykorzystaniu w śledztwie lub analizie wszelkich publicznie dostępnych narzędzi oraz źródeł informacji. Wbrew pozorom uzbrojeni w taki arsenał jesteśmy w stanie zrobić bardzo dużo. Niejednokrotnie różne agencje czy cyberanalitycy za pomocą OSINT-u identyfikują siatki trolli, łapią hakerów czy dochodzą do tego kto prowadzi propagandę na niektórych portalach.

Czy korzystanie z OSINT-u jest trudne? Niewątpliwie wymaga ono doświadczenia, znajomości paru istotnych technik, a niekiedy sporej ilości czasu. Analitycy często podpierają się narzędziami, które automatyzują ich prace, jednak nie zawsze jest to konieczne.

Siatki trolli

Ot weźmy chociażby przykład akcji promocyjnej rządowej aplikacji ProteGo, mającej pomóc w walce z koronawirusem. Po publikacji na jej temat i konferencji prasowej, na Twitterze pojawiło się wiele postów chwalących tę aplikację. Zdecydowana większość, jak zauważyła analityczka Anna Mierzyńska, okazała się być bardzo podobnej treści:

osint
źródło: Twitter

 

Jest to dla nas pierwsza lampka ostrzegawcza. Poza tym spora część tych kont powstała w tym samym miesiącu, w którym miejsce miała konferencja prasowa. Dalsza analiza kont wykazała bardzo podobne zainteresowania danych użytkowników. Dalej za pomocą OSINT-u jesteśmy w stanie sprawdzić np. czy dana osoba tytułująca się profesorem istnieje w stosownej bazie.

Kolejną wskazówką jest to, że konta trolli posiłkują się zdjęciami profilowymi ściągniętymi z internetu, jak to przeanalizował portal niebezpiecznik. Dane zdjęcie bardzo łatwo wyszukać w sieci choćby za pomocą strony https://images.google.com/

osint
źródło: Niebezpiecznik.pl

Również stosowne narzędzia automatyzujące OSINT wykazały zadziwiającą siatkę powiązań (tzw. followersów) owych kont. Jest to kolejny dowód na to, że konta prawdopodobnie są fikcyjne:

 

osint
źródło: Niebezpiecznik.pl

 

Podobną analizę, wykazującą setki powiązanych kont w popularnym serwisie wykop.pl przedstawiono niedawno na blogu ZaufanaTrzeciaStrona.pl. Tam również wykazano, iż niektóre polityczne posty były wyjątkowo chętnie „zakopywane” przez użytkowników serwisu będących prawdopodobnie botami.

Kto stoi za dezinformacją?

Inny przykładem zastosowania OSINT-u jest sprawdzanie powiązań danego portalu. I tak analitycy z EU DisinfoLab wzięli pod lupę francuską stronę ObservateurContinental.fr, która szerzyła dezinformację na temat COVID-19.

I tak już przejrzenie publicznie dostępnej bazy danych WHOIS dało pierwszą wskazówkę na temat korzeni strony:

osint
źródło: disinfo.eu

Nie trzeba dodawać, że InfoRos to moskiewska agencja prasowa. Jej fizyczny adres brzmi „7-2 Krzhizhanovskogo,117218 Moscow”, natomiast w zakładce Technical Contact portalu ObservateurContinental.fr mamy:

osint
źródło: disinfo.eu

 

Zadziwiająca zbieżność!

Jednak nie tylko Rosjanie próbują wpłynąć na francuską opinię publiczną. Ci sami badacze przyjrzeli się również innej stronie z kraju trójkolorowych, a mianowicie „France Libre 24” (znajdującej się pod adresem fl24.net), również szerzącej dezinformację. Tym razem pod lupę wzięto adres IP. Szybki rzut oka na publiczną bazę ujawnił ciekawy fakt:

osint
źródło: EU DisinfoLab

Otóż owa strona dzieli swój adres IP z polską stroną wolnosc24.pl. Wcześniej pod tym adresem IP działała strona nczas.com założona przez Janusza Korwina-Mikke. Właścicielem tych dwóch polskich stron jest ta sama spółka S5 Media Sp. z o.o.

 

osint
źródło: EU DisinfoLab

Z kolei internetowe archiwa archive.md posłużyły do znalezienia informacji o spółce, która jest właścicielem fl24.net:

osint
źródło: EU DisinfoLab

Kolejne inwestygacje potwierdziły, że zarówno w S5 Media i S6 Media swoje udziały posiadają Tomasz S. i Krzysztof S. Z kolei inny udziałowiec S5 Media, Adam W., jest udziałowcem spółki [email protected], która wg śledztwa przeprowadzonego przez TheGuardian jest odpowiedzialna za tworzenie polskich farm trolli.

Haker złapany przez OSINT

OSINT ma też inne zastosowania. Za jego pomocą analitycy z firmy Checkpoint byli w stanie zidentyfikować personalia hakera ukrywającego się pod pseudonimem „VandaTheGod”.

VandaTheGod był bardzo aktywny w social mediach, gdzie często chwalił się zhakowanymi stronami. I to go zgubiło. W jednym z postów na Twitterze podzielił się ze społecznością cyberprzestępców swoim adresem e-mail:

osint
źródło: Checkpoint.com

Ponownie szybki rzut oka do bazy WHOIS pozwolił zidentyfikować, że osoba rejestrująca dane domeny pochodzi z Brazylii, a konkretnie z miasta Uberlandia:

osint
źródło: Checkpoint.com

Jeden ze screenshotów umieszczonych przez hakera na Twitterze ujawnił o nim kilka kolejnych ciekawych informacji:

osint
źródło: Checkpoint.com

Po pierwsze VandaTheGod utożsamia się z Brazilian Cyber Army (BCA). Po drugie w jednej z zakładek ma otwartego Facebooka z kontem „Vanda De Assis”. O ile samo konto nie zawiera osobistych informacji, o tyle jego zawartość potwierdza, że należy ono faktycznie do tego hakera.

Z kolei inny screenshot ujawnia prawdopodobne inicjały cyberprzestępcy:

osint
źródło: Checkpoint.com

To już pozwoliło zawęzić poszukiwania. Analitycy z Checkpointa przeszukali Facebooka pod kontem osób o inicjałach M R pochodzących z Uberlandii. Liczba kont wynikowych była na tyle mała, że można było je przeanalizować ręcznie. Jedno z nich umieściło na swoim profilu logo Brazilian Cyber Army. Bingo.

Pozostało już tylko się upewnić, że to faktycznie ta sama osoba. Porównano znalezione konto z kontem „Vanda De Assis”. Oprócz ujęć niewątpliwie tego samego pomieszczenia znalazły się również identyczne zdjęcia wrzucone do obu profili:

osint

osint
źródło: Checkpoint.com

 

Pozostało zatem już tylko powiadomić stosowne władze.

OSINT to potęga

Nie zawsze hakowanie wiąże się z używaniem wysoko wyspecjalizowanych i płatnych narzędzi. Często wiele informacji można znaleźć za pomocą publicznie dostępnych stron i źródeł. Wystarczy tylko wiedzieć gdzie szukać. Istnieje wiele kursów i poradników z przydatnymi linkami do stron pomocnych do przeprowadzania OSINT-u. Warto zapoznać się z częścią z nich i wyrobić sobie opinie na temat ich przydatności, aby następnie móc w internecie prowadzić swoje prywatne, całkowicie legalne, śledztwa.

Jeżeli temat artykułu zainteresował Cię, zapisz się do naszego newslettera. Już wkrótce planujemy kolejny artykuł omawiający wykorzystanie technik OSINT-owych w audytach bezpieczeństwa i testach socjotechnicznych.


Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.

Leave a Reply

Twój adres e-mail nie zostanie opublikowany.

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.