Date : 7/15/2015 6:04:50 PM
From : "idf-cyb"
To : "בת-אל פרידמן [friedmanbatel@gmail.com]"
Subject : SYMANTEC REPORT

"רוצח הרפאים" עוזר לקבוצות האקרים במזרח התיכון

רקע:

לקראת סוף יוני 15 התגלה כי ה pocreations.fr - domain  מאחסן פוגענים, מודעות ויותר מ25 סוגים של Defacementים עבור קבוצות האקרים והאקרים בודדים במזרח התיכון.
האקר ממרוקו אשר ידוע בכינוי "Ghost Killer" מנהל את הdomain הנ"ל. הוא מתכנת פוגענים, מעצב Defacementים, ומאחסן מגוון קבצים עבור האקרים בdomain שלו. דוגמה לפוגען אשר נמצא בdomain  הוא Downloader.Ponik, פוגען זה הוא סוס טרויאני אשר מוריד פוגען אחר למחשב הנתקף ויכול לגנוב שמות משתמשים וסיסמאות. "רוצח הרפאים" אף מאחסן Defacement שהיה בשימוש של אנונימוס בפעילויות כמו: OpIsrael ו - OpCharlieHedo.

פרטים:

שמו האמיתי של "רוצח הרפאים" הוא עבדאללה תזרוט, אשר מוכר גם בכינוי "tazroute".
חשבון הפייסבוק של "רוצח הרפאים" נמצא תחת הכתובת: facebook.com/tazroute וחשבון הטוויטר שלו הוא @tazroute_1.
ל"רוצח הרפאים" ישנם עוד שני חשבונות פייסבוק אשר אליהם לא נכנס מאז 2014. על פי שלושת חשבונות הפייסבוק עולה כי "רוצח הרפאים" הוא באיזור גיל ה50 ומתגורר במרוקו.
"רוצח הרפאים" היה מזוהה עם קבוצת האקרים מעזה וקבוצה נוספת בשם "האבן הכחולה" משנת 2010, אך הפסיק לעבוד עם הקבוצות בתחילת שנת 2014.
בשנת 2010 נראה "רוצח הרפאים" מתנסה רבות בסביבת העבודה visual-basic, ובפורומים של האקרים בערבית. לרוב פירסומיו בפורומים אלו כללו קישור להודרה של פוגענים כמו DarkComet(סוג של RAT) וכלי פריצה בWI-FI. כמו כן בשנת 2015 השתתף בהתקפה OpIsrael של אנונימוס על ידי פרסום כלי DDOS אשר נמצאים באתר http://goo[.]gl/A5iAPU.

שירותים:

כפי שצויין קודם לכן בdomain קיימים פוגענים, סוגים של Defacementים וקבצים נוספים עבור קבוצות האקרים והאקרים בודדים במזרח התיכון. חלק מהDefacementים אשר נמצאים בdomain נזקפים לזכותו של "רוצח הרפאים".
מחקר מודיעיני מעמיק אשר נעשה בסוף חודש יוני הראה כי ישנם Defacementים עבור AnonGhost ועבור צבאות סייבר במזרח התיכון.
ההקטיביסטים אשר השתמשו בDefacementים שנמצאים בdomain של "רוצח הרפאים" הם:
FallaG XTN, DZ mafia, DZ Force, Pirates Palestine Anonymous, MrMAHMoud,wolf_blcak, Sniper_m@r, Anonymous DZ, Salah007, terfa DZ, 
mahboul DZ, Akram RoB,VirUS Algeria, AdEl, Brinis Hacker.

תכנות פוגענים:

בdomain קיימים שמונה קבצים של פוגענים שנכתבו או שונו על ידי "רוצח הרפאים".
חלק מהאפליקציות נכתבו בשפת NET. חלק מאפליקציות אלה כללו מחרוזות PDB( מחרוזת זו מכילה מידע תיקון לתקלות והיא נכתבת אוטומטית לאחר שהקובץ עובר קימפול ) שבהן היה כתוב: "C:\Users\ghost killer\", פרט לקובץ עם ה7f6509702278acbd545aed624d6d5d2 :MD5 שהכיל את המחרוזת PDB: 
"c:\users\juba007\documents\visual studio 2010\". ידוע כי juba007 הוא האקר פרו- מוסלמי.

תחזית:

על פי מחקר מודיעיני מעמיק מעריכים כי "רוצח הרפאים" ימשיך להשתמש בdomain לאחוסן שירותים, עד שבעל הdomain האמיתי לא יבין כי נמצא תחת סכנה.
כמו כן מאמינים כי ל"רוצח הרפאים" יש עוד מספר domainים בהם נעשה שימוש דומה ועקב כך שהוא משתלט על domainים לא חשודים, הם לא נכנסים לרשימה השחורה.