Хакерская группа, называющая себя «Сирийской электронной армией» (SEA), в последнее время привлекла к себе внимание широкой общественности, особенно после взлома газеты NY Times и твиттера. Более того, ими заинтересовался сам Брайан Кребс, известный мастер «доксинга» (поиска информации и документов в интернете), виртуоз журналистских расследований в сфере киберпреступности.
Брайан обещает, что с сегодняшнего дня будет внимательнее следить за деятельностью этой организации. Сейчас он опубликовал первую из возможного цикла статей об этой хакерской группе.
В мае этого года после введения международных торговых санкций против Сирии компания Network Solutions LLC конфисковала более 700 доменов у сирийских владельцев. Среди них было несколько сайтов, принадлежащих SEA. Судя по IP-адресам, большинство этих сайтов размещалось на хостинге Сирийского компьютерного общества — эту организацию, которую в прошлом возглавлял нынешний президент страны Башар аль-Асад, считают предшественницей Сирийской электронной армией.
После конфискации доменов хакерской группе пришлось регистрировать новые — вскоре они переехали на syrianelectronicarmy.com и sea.sy, разместившись на российском хостинге. Где-то в процессе переезда их главный веб-сайт взломали. Нападавшие получили полный доступ к виртуальным серверам и всем файлам, включая базу данных зарегистрированных пользователей.
Как выяснилось, члены Сирийской электронной армии не отличаются высоким профессионализмом. Некоторые из них использовали одинаковые пароли и на сайте, и на своих почтовых ящиках Hotmail, MSN и Outlook.
В таблице видно, что один из двух админов зарегистрирован под адресом sy34@msn.com. Вероятно, это и есть один из лидеров SEA. Поиск в гугле по этому почтовому адресу вывел на пользователя ныне заброшенного форума hackforums.net под ником SyRiAn_34G13, а поиск в domaintools.com показал, что под этим email’ом был зарегистрирован сайт codepassion.net.
Сейчас этот сайт неактивен, но в Internet Archive сохранились несколько копий за разные даты, в том числе копия от 14 мая 2012 года, когда сайт взломали и подвергли дефейсу некие скрипт-кидди.
В остальное время codepassion.net был сайтом-визиткой некоего программиста по имени Мохаммед Осман (Mohammed Osman), 1990 года рождения. Он говорил, что сейчас работает в студии веб-дизайна Flex Solutions в Дамаске (Сирия) на должности Senior Front End Developer. Вот его страничка на Facebook и блог на DeviantArt.
Учитывая опыт веб-разработки Мохаммеда, сложно представить, что он просил зарегистрировать домен другого человека. Скорее всего, он сделал это лично, следовательно, почтовый адрес sy34@msn.com принадлежит ему. Тем более что указанный в резюме почтовый адрес osmancode@gmail.com тоже числится в списке пользователей sea.sy, с паролем 963100.
На адрес osmancode@gmail.com зарегистрирован сайт еще одной студии веб-дизайна mohamadstudio.com. Вероятно, это новая компании Мохаммеда, где он работает после увольнения из Flex Solutions На этом сайте мы, наконец-то, находим фотографию самого Мохаммеда. Он говорит, что недавно переехал в Турцию и называет себя уже другим (вымышленным?) именем Mohamad Abd AlKarem.
Мохаммед Осман
На сайте Vice.com можно найти профиль другого админа сайта Сирийской электронной армии, который зарегистрирован под ником ThePro. Это, предположительно, 19-летний сириец по имени Хатем Диб (Hatem Deeb), вот его страничка на Facebook. Что характерно, судя по профилю на Facebook, Хатем Диб учится на втором курсе Санкт-Петербургского государственного политехнического университета. Скорее всего, в Институте информационных технологий и управления. Среди его интересов и лайков — язык программирования C#, Android, пиво и Владимир Путин.
Хатем Диб
В комментарии для Vice.com сам ThePro отрицает, что его зовут Хатем Диб, якобы это его друг.