Is deze 19-jarige gast de leider van de Syrian Electronic Army?

De Syrian Electronic Army kwam deze week weer volop in het nieuws nadat de New York Times, Twitter en Huffington Post UK uit de lucht gehaald waren. Het zijn de meest recente acties op een lange lijst high profile hacks, die zich richtten op sites als the Onion en the Associated Press.

De SEA heeft gezegd dat het een cyberoorlog voert om berichtgeving die overduidelijk anti-Assad is af te wijzen. Maar wie runt de hele operatie eigenlijk? Nieuwe aanwijzingen wijzen erop dat het de 19- jarige Syrische hacker Hatem Deeb lijkt te zijn.

Hoewel de SEA een aantal interviews met de media heeft gegeven (waaronder hier op Motherboard), waren deze tot nu to telkens anoniem. Hun identiteit is in alle media-activiteit verborgen gebleven achter namen als TheShadow en ThePro. ThePro, of Th3Pr0, heeft de leidersrol op zich genomen, en heeft tot dusverre zijn identiteit verborgen gehouden.

De technologiepers is verzot op het melden van het feit dat de SEA relatief primitieve technieken heeft gebruikt om hun high-profile hacks uit te voeren. Sommige ervaren hackers en beveiligingsanalisten noemen hun aanvallen amateuristisch, omdat sommige van de Twitterovernamen van de groep het resultaat van oude phishingacties zijn. Daarnaast hebben ze per ongeluk een heel digitaal spoor nagelaten dat de identiteit van hun meest prominente leden zou kunnen onthullen.

Niet lang na de aanvallen op Associated Press en the Onion had ik contact met een hacker die in Syrië werkt. Op dat moment zei hij dat de SEA amateurs waren – vooral jonge twintigers die met nauwelijks enige ervaring in beveiliging of programmering. De hacker – die we hier X zullen noemen – wist het IP-adres van de SEA in Damascus te snaaien, waarna hij met de hulp van een aantal andere hackers in de SEA servers heeft ingebroken. Ze bemachtigden rond de 140 email adressen, vooral Hotmail accounts, die allemaal toebehoren aan vermoedelijke leden van het Syrische hackersleger.

Het kersje op de taart was de identiteit van ThePro, oftewel Hatem Deeb. Het blijkt dat hij zijn echte naam heeft gebruikt op een cruciaal document: de factuur van een virtual private server (VPS) die hij voor de SEA had gehuurd. Het emailadres dat vermeld stond was admin@thepro.sy, wat ook het adres is van ThePro's blog. Ook het gebruikte creditcardnummer stond op Deebs naam.

Deeb stond vermeld als de admin op de website van de Electronic Army toen deze nog in Syrië gehost werd. Tot slot werd zijn naam, samen met nog een aantal anderen, genoemd op een aan SEA geliëerd twitter account.

Het Syrische hackersleger ontkent dat de namen in de bovenstaande tweet SEA-leden zijn:

"It's old account, and that names were tagged in Victor post… not the names of SEA members lol," schreven ze in een email.

We hebben via verschillende emailadressen geprobeerd bevestiging te krijgen dat Deeb en ThePro dezelfde persoon zijn, maar tot nu toe hebben we nog geen reactie gehad. We zullen het laten weten als we iets horen.

Hacker X stuurde me naar een openbare Facebook-pagina die volgens hem de Hatem Deeb is waar het over gaat. De pagina staat vol met afbeeldingen met steunbetuigingen voor Assad. Zijn profielfoto is een portret van Maher al-Assad, een syrische generaal en commandant van de Republikeinse Garde. Daartussen staat een enkele foto van een sigaretrokende jongeman, vermoedelijk Deeb zelf.

X beweert dat hij toegang heeft tot 139 andere emailaccounts van het SEA, en dat hij de identiteit van een aantal andere prominente SEA-leden heeft achterhaald. Motherboard heeft snapshots gezien met de email accounts, wachtwoorden en account informatie van deze vermoedelijke leden en aanhangers en heeft bevestigd dat het Syrische email accounts zijn. Vele daarvan zijn Yahoo! en Hotmail accounts.

We kunnen nu niet met honderd procent zekerheid zeggen dat deze adressen van SEA-leden zijn. Het zelfde geldt mogelijk voor Deeb. De mogelijkheid bestaat nog steeds dat Deeb zelf een alias is. Maar dan zou het goed genoeg geregeld moeten zijn om creditcard bedrijven en webregistratiediensten voor de gek te houden. Afgaande op de niveau van de rest van hun handelingen kunnen we er redelijk zeker van zijn dat dit 'm is.

In een eerder interview met VICE doet ThePro de oorsprong van de SEA uit de doeken.

"De SEA is opgestart aan het begin van de crisis in Syrië. Jonge Syriërs kwamen samen om hun land te verdedigen tegen een bloedige propagandacampagne door media als Al Jazeera, BBC en France24. We zijn allemaal Syrische jongeren met verschillende gespecialiseerde computervaardigheden, zoals hacken en grafische vormgeving. Onze missie is om ons geliefde en trotse Syrië te verdedigen tegen de bloedige mediaoorlog die tegen haar gevoerd wordt.”

Hoewel ThePro zegt dat hij trots is om een hacker voor Assad te zijn, blijft het verband tussen de SEA en het Syrische regime onduidelijk. Er wordt gespeculeerd dat Assad, die openlijk de daden van de SEA prijst, de groep financieel ondersteunt. Aan de andere kant wijst volgens sommigen de amateuristische aanpak erop dat het een losse groep nationalistische hackers die op hun eigen houtje wat in de rondte hacken.

Onafhankelijk van hun oorsprong is het de organisatie, die eerder als groepje amateurs is weggezet, toch gelukt om één van de meest besproken groep hackers ter wereld te worden. Met aan het roer, zo lijkt het nu, een 19-jarige gast die zijn successen op zijn blog etaleert.

Update: ThePro heeft contact met me opgenomen en ontkend dat hij Hatem Deeb is. Hij zegt dat Deeb een vriend van hem is. Toen ik vroeg of hij zijn identiteit kon aantonen en uitleggen waarom Deebs naam op de documenten vermeld staat, antwoordde hij dat hij, hoewel hij op de domeinregistratie voor de SEA website staat, geen lid is van van de SEA.

“Denk je dat ik zo dom ben om mijn echte identiteit aan jou prijs te geven?” schreef hij. “Hatem is mijn vriend en een vriend van de SEA, maar hij is geen lid. Hij had een band met SCS (de Syrian Computer Society, red.), dus het zou kunnen dat zijn naam op de domeinregistratie staat in plaats van onze echte namen.”

Update #2: Beveiligingsexpert Brian Krebs publiceerde een rapport dat de digitale oorsprong van de SEA onderzoekt, een van de andere prominente leden onthult als een gast die Mohammed Osman heeft, en de bovenstaande details over Deeb bevestigt.

In samenwerking met Tim Pool.