1#[Atak hakerski] 14.05.2022

[TaOwca]

**Sobota w Los Santos, dla jednych wyjątkowo spokojna dla innych zaś same nerwy. Wielu użytkowników takich poratli jak Maze Bank czy LI stwierdziło że doszło u nich do włamania na konta. W zwykłym przypadku jest to wina zapomnianych haseł oraz błędów w logowaniu, lecz częstotliwość z jaką do supportu znanych i często używanych platform dochodziły zapytania może świadczyć o dużym ataku na konta użytkowników. Z tym wnioskiem przedstawiciele prawni poszkodowanych platform zameldowali możliwe przestępstwo**

Jeszcze przy składaniu pierwszych zeznań zostały podane te informacje:

-Według analizy pracowników odpowiedzialnych za IT oraz bezpieczeństwo danych platform "nie doszło do ataku na zapory stron". Według danych analistycznych każdy użytkownik u którego stwierdzono wykradnięcie danych zalogował się swoim aktualnym hasłem oraz nazwą użytkownika. Nawet Mail potwierdzający logowanie z nowego urządzenia został zaakceptowany.

-Analitycy stwierdzili iż logowania do każdego z kont użytkowników u którego stwierdzono kradzież danych zostały przeprowadzone z tego samego IP.

-Przedstawiciele prawni firm potwierdzili że aktualnie platformy nie mają z nikim wielkiego zatargu. Co za tym idzie - Akcja miała zapewne powód zarobkowy.

 

[TaOwca]

W dniu 15.05.2022 o 16:03, look at my eyes napisał:

* Analitycy specjalizujący się w dziedzinie IT z FIB (ERT) skontaktowali się z przedstawicielami platform na których doszło do włamań, tzn. Maze Bank oraz Lifeinvader. Jaka jest liczba kont na które się włamano?

**Liczbe kont szacuje sie na ok. 50 (tych kont które rzeczywiście zostały zghłoszone, faktyczna ilosc może być większa)**

W dniu 15.05.2022 o 16:03, look at my eyes napisał:

* Jakich czynności dokonywano na kontach po włamaniu?

 

W dniu 15.05.2022 o 16:03, look at my eyes napisał:

* Jakich czynności finansowych dokonano na kontach użytkowników Maze Bank?

**Niezależnie od platformy analitycy stwiedzili iż z kont zostały skopiowane wszelkie dane, w tym adresy, IP z ostatnich logowań, dane osobowe itp. Nie doszło do zmian finasowych na kontach Maze Bank**

W dniu 15.05.2022 o 16:03, look at my eyes napisał:

* Konta Lifeinvader miały w jakikolwiek sposób powiązane ze sobą karty kredytowe, np. poprzez moduł mikropłatności?

**Zapewne miały (poprzez mozliwość zakupuy LI Pro) lecz jak ws. nie dosżło do zmian bilansu na kontach**

W dniu 15.05.2022 o 16:03, look at my eyes napisał:

* Analitycy IT dokonali działań mających na celu sprawdzenie, czy w ostatnim okresie nie doszło do wycieków haseł i tym podobnych do kont, na które się włamano. Porównano je z listą kont na które się włamano z danymi dostępnymi w DarkNet oraz zwykłym internecie. Jaki dało to wynik?

**Znikomy, brak porówniania z listą kont z DarkNet oraz internetu. Jedyne co stwierdzono to to że duża ilośc danych została ostatnio sprzedana anonimowo. Wyśledzenie kupca lub sprzedawcy jest niestety niemożliwe**

W dniu 15.05.2022 o 16:03, look at my eyes napisał:

* Jaki jest adres IP z którego dokonano włamania? Wskazuje on na inne tego typu aktywności w ostatnim okresie? Jest on powiązany z innymi przestępstwami?

**Adres IP wskazuje na zagraniczną firme z Chin, zajmującą się oprogramowaniem(HT Tech Works). Powiązanie IP z innym akcjami będzie trudne z powodu znikomego dostępu amerykańskiego FIB do baz danych ChRL(Ministerstwo Bezpieczeństwa Państwa). Wiadomo jednak że jedna z placówek HT Tech Works była również w Los Santos. Jej właścicielem był Hun Tao a jego dane kontaktowe widnieją jeszcze w liście przedsiębiorst San Andreas Government **

Edytowane 16 Maja 2022 przez TaOwca

[TaOwca]

W dniu 15.05.2022 o 16:03, look at my eyes napisał:

* Doszło do włamania na konta osoby szczególnie znanej medialnie?

**Nie, jednak kilkoro funkcjonariuszy lokalnego LSPD również padła ofiarą atakiem.

((Zagram to w ten sposób, reczywiście powinno paść ofiarą kilkoro postaci funkcjonariuszy, jednak aby uniknąć PG stawiam na granie, że ofiary to byli fikcyjni funkcjonariusze. Jeśli jednak wolisz zagrać to z prawdziwymi funcjonariuszami którzy padli ofiarą, a oni tez wyrażą zgodena to, to podam w następnej odpowiedzi ich dane))**

[TaOwca]

9 godzin temu, look at my eyes napisał:

* Jaka jest kwota za którą sprzedano dane (i na jakie z nich wskazywała oferta) i w jakiej formie dokonano płatności?

**Wystawiona kwota wynosiła $150.000, w ogłoszeniu sprzedaży była mowa o "danych osobowych" oraz "informacjach o kontach" użytkowników Maze Bank oraz LI na terenie stanu. Informacji dot. płatności nie widać na archiwialnym ogłoszeniu. Zwykle cyberprzestępcy stosują fikcyjne firmy oraz pośredników do odbioru oraz prania pieniędzy. I w tym przypadku zachowano dużą ostrożność.**

9 godzin temu, look at my eyes napisał:

* Sprawdzono informacje na temat kont na które się włamano. Jest jakikolwiek widoczny i możliwy do wykrycia przez analityków IT i systemy do filtrowania wspólny mianownik, który łączy te osoby (np. miejsce zamieszkania, zatrudnienia, duża liczba wspólnych znajomych)?

**Raczej nie. Jedynie co stwierdzono że niemalże każda z ofiar ataku często wrzuca swoje zdjęcia do LI oznaczając Vespucci Beach. To jedyny wspólny mianownik ofiar.**

9 godzin temu, look at my eyes napisał:

* Jakich czynności dokonywano na kontach po włamaniu?

**Niezależnie od platformy analitycy stwiedzili iż z kont zostały skopiowane wszelkie dane, w tym adresy, IP z ostatnich logowań, dane osobowe itp. Nie doszło do zmian finasowych na kontach Maze Bank** ((Odpowiedziałem wyżej, moja wypowiedź tyczyła się obu zapytań. Po prostu odpowiedziałem w jednej wypowiedzi na oba cytaty.))

9 godzin temu, look at my eyes napisał:

* FIB szuka informacji na temat przedsiębiorcy chińskiego pochodzenia, Hun Tao. Przebywa on aktualnie w San Andreas lub na terytorium US? Na mężczyznę agenci FIB tymczasowo nałożyli zakaz opuszczania terytorium US (jeśli na nim przebywa), który zostanie zdjęty po zgłoszeniu się do Field Office FIB.

**Hun Tao aktualnie przebywa na terenie Los Santos. Jego dane kontaktowe znajdują się w ich bazie danych (został min. raz zatrzymany za niedozwoloną prędkość). Jeśli zakaz opuszczania terytorium US oraz nakaz do wstawienia się do Field Office FIB zostały mu wysłane, to na pewno wstawi się w najbliższym terminie**

9 godzin temu, look at my eyes napisał:

* Jaka jest historia HT Tech Works dotycząca filii w Los Santos wedle danych posiadanych przez rząd federalny?

**Od rozpoczęcia działalności 5 stycznia firma zajmowała się tworzeniem stron oraz systemów i oprogramowania dla takich klientów jak ERIS czy Eugenics Medical Center. 4 marca firma została zamknięta zaś jej właściciel pozostał w Los Santos.**

Spoiler

1. Nie ma problemu, wiem jak gracie i też wolę prowadzić temat w grze niż na forum. Napisze do ET ws. dogrania kilku postaci z tej akcji.

2. Hun Tao istniejej naprawdę i jak ws. przebywa na terenie Los Santos. Jeśli chcesz umówić się na gierke z nim to pisz na wiadomości na forum i ustalimy termin gry.

 

[TaOwca]

20 godzin temu, look at my eyes napisał:

* Przedstawiciele Eugenics Medical Center przekazali cały system teleinformatyczny związany z HT Tech Works do analizy przez zespół IT ERT. Wewnątrz kodu znajduje się coś, co jest określane jako nietypowe, np. nieodpowiednie wstawki czy programy pobierające dane?

**Nie, system jest czysty. Do dziś działa bez problemów.**

20 godzin temu, look at my eyes napisał:

* FIB zbadało dokładnie informacje na temat zatrudnionych osób w lokalnym oddziale HT Tech Works i uzyskało ich dane. Jakakolwiek z tych osób (tzn. wcześniej zatrudnionych w HT Tech Works na terenie Los Santos) przebywa nielegalnie na terytorium US i/lub była wcześniej karana?

**Nie**

20 godzin temu, look at my eyes napisał:

* Agent Nunez skontaktowała się z zarządem budynku w którym mieszkał Hun Tao chcąc potwierdzić fakt poruszony przez mężczyznę dot. kradzieży sprzętu elektronicznego. Przeprowadziła rozmowę ze wskazaną przez niego osobą i sprawdziła nagrania z kamer. Jaki dało to wynik? Co można było na nich zobaczyć?

**W budynku w którym mieszkał Hun Tao (Blok przy Sinners Street, Textile City) nie ma zamontowanych kamer: Są to mieszkania średniej klasy za maks. 15 tysięcy. Dozorca budynku potwierdził że w mieszkaniu znalazł ślady włamania, dzień później Hun Tao opuścił mieszkanie. Nadzorca na życzenie nie zgłosił włamania policji. Aktualnie mieszkanie zamieszkuje inna rodzina która nie ma pojęcia o wcześniejszym włamaniu.**

[TaOwca]

21 godzin temu, look at my eyes napisał:

* Zbadano sprzęt komputerowy ofiar pod kątem infekcji urządzenia. Jaki dało to wynik? Czy do infekcji doszło poprzez sprzęt? Jeśli tak, to w jaki sposób?

**W każdym z komputerów znaleziono ślady malware, które mogło spowodować wykradnięcie danych. Malware ukrywało sie w pliku piosenki Love Fist.**

Edytowane 20 Maja 2022 przez TaOwca

[TaOwca]

W dniu 23.05.2022 o 21:13, look at my eyes napisał:

* Jaki był sposób jego działania, gdzie przekazywał dane?

*Po odpaleniu odpowiedniej piosenki z albumu malware trafiało poprzez odczyt płyty do komputera. Plik oprogramowania, zaszyfrowany tym samym kodem co ścieżka dzwiękowa piosenki trafiał bez przeszkód do komputera, skąd nastąpywała instalacja złośliwego oprogramowania. Po intsalacji program znikał z radaru, stając się niemalże niewidoczny. Eksperci mogli zaobserwować niebywałą reakcje programu w którym plik "podpinał" się niczym pijawka do innych programów. Ustawiona wcześniej rotacja pozwalała tak na ominięcie skanu wirusa (podczas sprawdzania zagrożenia na komputerze skanowane sa pliki w ustalonej kolejności, złośliwy program podpinał się do programów na końcu kolejki po czym gdy pierwsze pliki zostały zeskanowane natychmiast zmieniał plik na jeden z zeskanowanych), zaś schemat rotacji oraz budowa kodu złośliwego oprogramowania jest kompletnie nowa dla ekspertów z ERT.

Program najwidoczniej monitorował aktywnosć oofiary i zapisywał dane logowań oraz hasła poszczególnych domen. Wysyłane one potem były na te samo IP, z którego dokonano sprzedaży danych.*

W dniu 23.05.2022 o 21:13, look at my eyes napisał:

* ERT mogło uzyskać inne informacji wszelkiej maści z dziedziny IT dotyczące ataku, które mogłyby być przydatne dla śledztwa?

*Jako że mają to do czynienia z nową techniką która nie jest im znana, raczej nie. Jedynie twórca lub ktoś okiełznany z kodem oprogramowania znalezionego na płycie Love Fist mógłby dać więcej informacji niż ERT.*