- 本文再次涉及追踪细节希望能引起注意 —— 该思路攻防皆可用
沙特王储(Mohammed bin Salman,MBS)的高级顾问 Saud al-Qahtani 以运行皇家宫廷的社交媒体而闻名,并担任 MBS 的首席宣传员和执行人。
至少在他监视沙特阿拉伯记者 Jamal Khashoggi 并实施了谋杀和肢解之前。
在这里看到相关资料:/?s=Jamal+Khashoggi
以下是对 al-Qahtani 活动的调查总结。完整的报告可以在这里查看📃。
在2012年和2015年,可认定 al-Qahtani 试图从备受争议的意大利间谍软件供应商 Hacking Team 采购监控工具。
在这里看到关于 Hacking Team 的档案:/category/hackingteam/
2015年7月5日,一名黑客泄露了这些文档,窃取并发布了大约400千兆字节的 Hacking Team 内部文件、源代码和电子邮件。
在这里看到对这些泄漏文件的开源调查分析演示《不需要 hacking 也能做到窥探你的一切》。
Al-Qahtani 与间谍软件供应商 Hacking Team 的联系似乎已被忽视多年,直到2017年8月29日 —— 当时匿名人士创建了一个阿拉伯语 Twitter 帐户,并开始公布 al-Qahtani 向 Hacking Team 发送电子邮件的摘录。
该帐户使用用户名 @HIAHY、显示名称为 تاريخوذكريات(“历史记录和记忆“),还将 al-Qahtani 使用过的电子邮件地址绑定到了多个在线帐户。
@HIAHY 指出,其中一个电子邮件地址是 [email protected] —— 也用于在流行的黑客网站 Hack Forums 上注册的账户 nokia2mon2 , 该论坛2011年6月被黑客行动组织 LulzSec 破坏。
主板于2018年8月发布的补充报告显示,泄露的 Hacking Team 邮件中包含两个声称是 al-Qahtani 的人使用的电子邮件地址:[email protected] 和 [email protected]。
@HIAHY 和主板都无法明确证明 al-Qahtani 拥有泄露的电子邮件地址,尽管两者都提供了有说服力的间接证据,证明 al-Qahtani 确实与 Hacking Team 通信,并且他是黑客论坛上 nokia2mon2 个人资料的所有者。
本报告分为七个部分:
首先,总结报告的主要发现。
其次,简短的传记图表显示 al-Qahtani 的权力,并总结他参与 Khashoggi 谋杀案的情况。
第三,揭示 al-Qahtani 拥有 Hacking Team 转储电子邮件地址以及之前未报告的移动电话号码 :+ 966 55 548 9750 —— 这也出现在泄露文档中。
第四,详细研究 al-Qahtani 在黑客论坛的活动。
第五,确定并分析 al-Qahtani 用于恶意目的的先前未报告的网络基础设施。
第六,在第三部分中显示的属于 al-Qahtani 的联系信息用于揭示有关其在线足迹的其他详细信息,包括他创建的虚假社交媒体资料。
最后,报告的结论解决了 al-Qahtani 在 MBS 继续努力压制批评者和持不同政见者方面所起到的作用。
以下是报告的主要发现:
Al-Qahtani 拥有在 Hacking Team 泄漏文档中属于他的联系信息
Saud bin Abdullah al-Qahtani 于1978年7月7日出生于利雅得,在加入沙特阿拉伯皇家空军军官培训课程之前,他获得了沙特国王大学的法学学士学位。
Al-Qahtani 最终晋升为队长,随后进入纳伊夫阿拉伯安全科学大学,获得刑事司法硕士学位。
Al-Qahtani 的职业生涯开始于在沙特报纸的专栏中推广王室,并以化名“Dhari ضاري”发表民族主义诗歌。
在21世纪初期,沙特皇家法院前负责人 Khaled al-Tuwaijri 聘请 al-Qahtani 管理一支负责保护沙特阿拉伯形象的电子媒体军队。
此后 Al-Qahtani 继续担任政府中的几个重要角色,包括2003年秘书处的法律顾问,当时的王储是阿卜杜拉·本·阿卜杜勒·阿齐兹;2004年的同一秘书处的媒体主任。
到2008年,Al-Qahtani 开始担任皇家媒体监测与分析中心总监;一年后,在2009年,他以 nokia2mon2 的账户加入了 Hack Forums;他还创建了自己的推特账号@ saudq1978。
Saud al-Qahtani 拥有电子邮件地址 saudq1978 @ gmail.com、saud @ saudq.com 和 [email protected],以及手机号码 +966 55 548 9750。
这证实了 al-Qahtani 在2012年和2015年与 Hacking Team 联系并购买了他们的间谍软件工具。
在2012年和2015年向 Hacking Team 发送邮件的 al-Qahtani 使用的是以下两个电子邮件地址([email protected] 和 [email protected])以及可以明确链接的电话号码(+966 55 548 9750)。
通过谷歌和 Twitter 的密码恢复页面的信息泄露可以证明这点。
同一个人也使用电子邮件地址 [email protected] 与 Hacking Team 沟通。
由于无法通过密码恢复页面上的信息泄露明确证明 al-Qahtani 对此电子邮件地址的所有权,本报告高度自信地判断 [email protected] 是 al-Qahtani 的官方政府电子邮件地址。
部分原因是2015年6月与 Hacking Team 代表的通信,同时使用了 [email protected] 和 al-Qahtani的[email protected] 地址。这证明了两个账户的共同所有者。
2015年6月29日,Hacking Team 创始人兼首席执行官 David Vincenzetti 收到了来自 [email protected] 的电子邮件。
发件人要求 Vincenzetti 通过移动加密消息应用程序 Threema 或 Telegram 与其联系,并称“在我的私人移动电话(+966 55 548 9750):
在正确附加他的 PGP 密钥之后,[email protected] 背后的个人于2015年6月30日向 Hacking Team 客户代表 Emad Shehata 发送了一封电子邮件,并描述 [email protected] 为他的私人电子邮件地址:
Gmail 链接到与 Twitter 相同的 Al-Qahtani 电话号码和电子邮件
Al-Qahtani 还拥有电子邮件地址 [email protected],这是基于 Google 密码恢复功能的信息泄露,该功能显示该 Gmail 帐户已连接到 al-Qahtani 的电话号码 +966 55 548 9750:
与 Twitter 的密码恢复功能一样,如果提供与 al-Qahtani 帐户无关的电话号码会返回错误。
同样的技术表明 al-Qahtani 的 [email protected] 电子邮件地址也与[email protected]相关联:
根据 Whois 记录,al-Qahtani 稍后用于在2015年再次联系 Hacking Team 的 royalcourt.gov.sa ,直到2013年6月才创建:
Al-Qahtani 至少注册了22个域名,其中一些用于恶意软件、DDoS 攻击
自2009年以来,Al-Qahtani 至少注册了22个域名,其中一些域名被用作恶意软件的命令和服务器控制:
- aldewan-almalaky[.]com
- aldewan-sa[.]com
- aldewanalmalaky[.]com
- aldewanksa[.]com
- aldewannews[.]com
- dewanmalaky[.]com
- fahadserver[.]com
- jasmn[.]info
- ksa-aldewan-almalaky[.]com
- kt-library[.]com
- m-d-sa-news[.]com
- markaz-dewan[.]com
- markaz-dewan[.]net
- markaz-royal[.]com
- markaz-royal[.]net
- royalcourt-ksa[.]com
- royalcourt-sa[.]com
- royalcourt-saudi-arabia[.]com
- sa-aldewan-almalaky[.]com
- saudidewan[.]com
- saudq[.]com
- saudqq[.]com
例如,al-Qahtani 使用 markaz-royal [.] net 的几个子域来托管恶意有效载荷,并被检测为运行恶意软件,如 Blackshades 和 Darkness / Optima。
主机 nokia2mon2.markaz-royal [.] net 被列入由 FBI 确定的参与 Blackshades 活动的超过 13,000 个主机的列表中,并且还被观察到为托管 shell 引导程序,允许受感染的网站用于 DDoS 攻击。
另一个子域 saud4.markaz-royal [.] net 托管了Optima 恶意软件,基于网站时光机快照,还捕获了 Optima 的俄语常见问题解答页面和 Optima 控制面板的登录页面:
2016年9月和2016年10月,Wayback Machine 保留了 saudqq [.] com主机上托管的文本文件的两次迭代,包括双因素身份验证代码、登录通知和其他通讯,发送到加拿大各地大约十几个电话号码。
2016年9月捕获的信息显示12条SMS消息传输到加拿大号码的日志,区号为魁北克(450)和曼尼托巴(204)。
这些消息是从加拿大的号码发送的,区号分别为安大略省(289,705),多伦多(647),蒙特利尔(438)和艾伯塔省(403)。
除了一个 Google 验证码之外(个人识别信息已被编辑),其他所有邮件都是 WhatsApp 验证码:
延伸:邮箱和手机验证都不安全《如何不暴露手机号、不花钱,实现双因素身份验证?》
2016年10月的捕获包含142条SMS消息,所有消息都以魁北克区号 450 发送到加拿大的号码。
只有五个号码被定位 —— 其中两个发送过一次;另一个被使用了 17 次;还有一个被使用了 47 次;另外一个达到了 76 次。
传输消息的具体内容差异很大。⚠️显示为身份验证代码接受的对口方包括:Coinbase,WeChat,Instagram,Microsoft,VK,WhatsApp,Steam,AirBnB,Viber 和 AOL。
好吧,这就是生活全景图。看到微信?
有些消息包含安全警告:
- “有人正在编辑 Microsoft 帐户 [redacted]@gmail.com 的安全信息。这是您的操作吗? https://account.live [.] COM ”
- “验证码:***。该代码仅用于移除微信的限制。不要与任何人分享”。
- “Microsoft 帐户存在异常登录,请在 https://account上查看。
除了英语之外,这些消息还有六种不同的语言:
- Arabic (“رمز التفعيل لحسابك في شابك هو”)
- Chinese (“您申请的手机验证码是: [redacted],请输入后进行验证,谢谢 !”)
- Thai (“ใช้ [redacted] เพื่อตรวจสอบยืนยันบัญชีผู้ใช้ Instagram ของคุณ”)
- Russian (“VK: Код подтверждения для входа на Вашу страницу ВКонтакте: [redacted]”
- French (“Collectionnez 6 bonus & vos 90% de l’offre du jour chez JackpotCity. RDV sur www.jpcw[.]in avec sugarmine. Contactez-nous pour desinscription”)
- Spanish (“Usa el código [redacted] para quitar este teléfono de tu cuenta”)
Al-Qahtani 在注册几乎所有这些应用时表现出极差的操作安全性。
⚠️除了三个(saudq.com,saudqq.com 和 jasmn.info)以外的所有 Whois 记录都包括他的个人电子邮件地址([email protected])手机号码(+966 55 548 9750)或其真实姓名的变体。
很糟糕的安全意识。
Al-Qahtani 积极参与黑客论坛、购买间谍软件
确认 [email protected] 归 al-Qahtani 所有,确认在该电子邮件地址注册的黑客论坛帐户 nokia2mon2 也属于 al-Qahtani。
Al-Qahtani 是黑客论坛的活跃用户,在2009年7月至2016年9月之间发布了超过500次。
除其他事项外,al-Qahtani 还在黑客论坛上的帖子详细介绍了他购买和使用的黑客工具和服务、以及他所针对的社交媒体平台和移动应用程序。
到2011年6月,加入论坛后不到两年,他估计自己拥有90%的付费和免费RAT。
他自己也承认过至少三次在醉酒状态下讨论与黑客无关的话题,例如宗教在政治和对伊朗政策中的作用。
当他在黑客论坛上活跃时,Al-Qahtani 至少三次成为诈骗的受害者,并且在2015年12月,他的帐户短暂被黑客入侵。
当他重新控制自己的帐户时,他建议论坛的其他成员启用双因素身份验证。
试图聘请 DDoS 专业人士来管理僵尸网络
与 RAT 一样,al-Qahtani 在黑客论坛上说他购买并使用了“几乎全部”DDoS机器人。吹牛逼的后果就是这样。
他使用的 DDoS 机器人和 DDoS 租用服务包括:
- D-Doser (versions 3.6 and 4.2)
- ChickenX Shell Shop
- Optima
- 3vBot
- Tippy’s DDOS service
- OncleSam DDOS service
2009年10月,在他加入论坛几个月后,al-Qahtani 为熟悉DDoS攻击的人发布了一则广告,提供每月500美元的薪水:
在没有人回复之后,他将工资提高到每月700美元。
一年后,在2010年9月,他又发布了消息称他需要一个好的管理员,他愿意每个月支付500美元。他要求在美国、加拿大、英国、沙特阿拉伯、科威特、迪拜和 “eurobek” 托管5000个机器人。
使用 PayPal 支付
al-Qahtani 在他的第一篇黑客论坛帖子中写道,他使用 PayPal 从用户 stronger7 那里购买恶意软件。
他在至少十几个其他帖子中提到使用 PayPal 进行各种购买。在2016年4月的一篇文章中,他指出他只能通过 PayPal 或 Visa 付款。
根据 PayPal 密码恢复站点的信息泄漏,[email protected] 连接到一个 PayPal 帐户,该帐户链接到以10结尾的 Visa 和以下部分编辑过的电话号码:5 * *** * 750,与 al-Qahtani 的沙特电信公司手机号码相对应:+ 966 55 548 9750。
在2010年12月的一篇文章中,al-Qahtani 写道他将通过“pp only”付款,指的是 PayPal。他还提供了一个新的电子邮件地址:[email protected]
他在两个月前的2010年10月至少又发过一次电子邮件地址,当时他要求卖方将 Windows 服务器漏洞利用添加给他。
地址与在此调查过程中未被识别的电话号码(******** 72)和电子邮件地址(al*****@hotmail.com)相关联。
支付1,500美元用于 Hotmail 帐户的Hack
Al-Qahtani 聘请黑客论坛的成员攻击特定的 Hotmail 帐户并向他提供凭据。
2010年10月,他开始提供支付300美元攻击 Hotmail 帐户。
十天后,他写道,许多用户尝试过但未能破解帐户。 “我没有关于该帐户的任何信息,只有帐户ID,如果任何人可以这样做到请联系我。”
2012年3月,al-Qahtani 发起了一个新的请求,要求破解三个 Hotmail 账户,为每个账户支付500美元。
他在六天后编辑了这个帖子,表明他的成功:“交易已完成”。
尝试破解无线网络
在2011年开始,Al-Qahtani 表示有兴趣破解无线网络(例如 Wi-Fi)。
2011年9月,他回应了一个名为“Middle”的用户的帖子,他提出出售黑客技能或者教他人攻击技巧。
Al-Qahtani 写道,Middle 给了他关于无线网络破解的“很好的知识”。
延伸《为什么你不应该使用Wi-Fi》
两个月后,在2011年11月,al-Qahtani 开始了一个新的帖子,解释说无线破解工具 Pyrit 操作失败,并向任何人提供20美元“帮我解释为什么 pyrit 失败,或者提供帮助”。
Al-Qahtani 表示他正在使用 BackTrack 5 R —— 这是渗透测试工具 Kali Linux 的前身。几天后,他发布了一个帖子,寻求密码破解工具 oclHashcat。
寻求iOS间谍软件
在2014年和2015年,al-Qahtani 要求为 Apple 产品提供黑客工具。
2014年3月,他发布了一个帖子,询问是否存在任何可能感染 Mac 的 RAT。
一些用户提到了 jRAT,但告知该工具不再被出售。正如通常的情况一样,al-Qahtani 的请求是紧急的:“还有任何其他的选择??????我现在就需要!”
同年10月,一位名叫“Sam Sung”的用户开始了一个帖子,他描述在他朋友的 iPhone 5 上看到一个间谍软件应用程序。
几乎可以肯定这是一个骗局帖子,Sam Sung 说他试图在网上找到该间谍软件,但他的朋友说,开发商希望保持低调。
Al-Qahtani 是第一个评论这条骗局帖子的人,他写道,“如果你发现了它,我会买,如果它能起作用,你会给你奖金”。Sam Sung 第二天回复说,“嗨,是的,我发现了,请私信我你的 Skype”。
在 LinkedIn、Facebook 上创建假账户
使用 al-Qahtani 拥有的联系信息,可以识别与他相关的其他联系信息,并识别出与这些电子邮件地址和电话号码相关联的多个帐户。
他有一个 LinkedIn 高级帐户,名为 “saud a”(al-Qahtani 的中间名是Abdullah),在那里他称自己为沙特阿拉伯的“猎头”。
他在职业生涯结束时以亲穆巴拉克“埃及公民”的角色创建了一个假的 Facebook 个人资料,并且还有 Snapchat、WhatsApp 和 Signal 账号。
结论
MBS 的压制机器还活着,这主要是因为特朗普政府拒绝让沙特强人和他的政权承担责任。
王储的得力助手 Saud al-Qahtani 在沙特阿拉伯的恐吓活动中继续发挥作用的程度尚不清楚。
沙特政府尚未公开讨论他的行踪,虽然在私下,沙特官员声称他被“软禁”。
然而,多家媒体都引用消息人士的话说,他仍然受到MBS的青睐,并继续以类似的身份工作,就像以前一样。
在2019年1月,华盛顿邮报报道在利雅得皇家宫廷的办公室里看到了 al-Qahtani。
同月,“华盛顿邮报”专栏作家 David Ignatius 报道说,MBS 经常与 al-Qahtani 接触,后者最近与该中心的高级代表会面,引用了美国和沙特的消息来源。
2019年4月,一位消息人士告诉“卫报”,MBS仍然忠于 al-Qahtani,他正在“积极参与”类似于他担任该中心负责人的角色,现在就在MBS的私人办公室内。
卫报此前的消息被后来 al-Qahtani 签署的保密内部命令的曝光所证实。
这份日期为2019年3月7日的文件以阿拉伯文写成,并指示“技术部门负责人”从MBS私人办公室的网络安全理事会开始,以“实施对卫报服务器的渗透。负责处理已发布报告的人应该以完全保密的方式处理该问题,然后尽快向我们发送所有数据。”
请注意,Al-Qahtani 不是沙特因谋杀 Khashoggi 而面临审判的被公开的11名嫌疑人之一。
2019年6月19日,联合国法外处决问题特别报告员 Agnes Callamard 发表了一篇关于 Khashoggi 死亡的报告,称其为沙特国家“有预谋的法外处决”。
报告说:“对他的杀戮是精心策划的结果,涉及广泛的协调和重要的人力和财力资源。它受到高级官员的监督、计划和认可。这是有预谋的。”
该报告特别指出:al-Qahtani 和 MBS 做为两名高级官员,他们没有受到任何刑事指控,但有“可信的证据值得进一步调查”。
Callamard 于2019年6月27日向联合国人权理事会提交了这份调查结果,Khashoggi 的未婚妻 Hatice Cengiz 也在理事会发言。
这份报告中的调查结果并非详尽无遗,对 al-Qahtani 网络基础设施的研究仍在进行中。一定要看完整版在这里。⚪️