1#[Atak hakerski] 14.05.2022

[TaOwca]

**Sobota w Los Santos, dla jednych wyjątkowo spokojna dla innych zaś same nerwy. Wielu użytkowników takich poratli jak Maze Bank czy LI stwierdziło że doszło u nich do włamania na konta. W zwykłym przypadku jest to wina zapomnianych haseł oraz błędów w logowaniu, lecz częstotliwość z jaką do supportu znanych i często używanych platform dochodziły zapytania może świadczyć o dużym ataku na konta użytkowników. Z tym wnioskiem przedstawiciele prawni poszkodowanych platform zameldowali możliwe przestępstwo**

Jeszcze przy składaniu pierwszych zeznań zostały podane te informacje:

-Według analizy pracowników odpowiedzialnych za IT oraz bezpieczeństwo danych platform "nie doszło do ataku na zapory stron". Według danych analistycznych każdy użytkownik u którego stwierdzono wykradnięcie danych zalogował się swoim aktualnym hasłem oraz nazwą użytkownika. Nawet Mail potwierdzający logowanie z nowego urządzenia został zaakceptowany.

-Analitycy stwierdzili iż logowania do każdego z kont użytkowników u którego stwierdzono kradzież danych zostały przeprowadzone z tego samego IP.

-Przedstawiciele prawni firm potwierdzili że aktualnie platformy nie mają z nikim wielkiego zatargu. Co za tym idzie - Akcja miała zapewne powód zarobkowy.

 

[I Feel Dead Inside]

* Agent Carter i Nunez (FIB) zajęły się sprawą.
* Maze Bank oraz Lifeinvader wystosowały prośby do swoich użytkowników o zmianę haseł i korzystanie z weryfikacji dwuetapowej (2FA).

* Analitycy specjalizujący się w dziedzinie IT z FIB (ERT) skontaktowali się z przedstawicielami platform na których doszło do włamań, tzn. Maze Bank oraz Lifeinvader. Jaka jest liczba kont na które się włamano?
* Jakich czynności dokonywano na kontach po włamaniu?
* Doszło do włamania na konta osoby szczególnie znanej medialnie?
* Konta Lifeinvader miały w jakikolwiek sposób powiązane ze sobą karty kredytowe, np. poprzez moduł mikropłatności?
* Jakich czynności finansowych dokonano na kontach użytkowników Maze Bank?
* Analitycy IT dokonali działań mających na celu sprawdzenie, czy w ostatnim okresie nie doszło do wycieków haseł i tym podobnych do kont, na które się włamano. Porównano je z listą kont na które się włamano z danymi dostępnymi w DarkNet oraz zwykłym internecie. Jaki dało to wynik?
* Jaki jest adres IP z którego dokonano włamania? Wskazuje on na inne tego typu aktywności w ostatnim okresie? Jest on powiązany z innymi przestępstwami?

[TaOwca]

W dniu 15.05.2022 o 16:03, look at my eyes napisał:

* Analitycy specjalizujący się w dziedzinie IT z FIB (ERT) skontaktowali się z przedstawicielami platform na których doszło do włamań, tzn. Maze Bank oraz Lifeinvader. Jaka jest liczba kont na które się włamano?

**Liczbe kont szacuje sie na ok. 50 (tych kont które rzeczywiście zostały zghłoszone, faktyczna ilosc może być większa)**

W dniu 15.05.2022 o 16:03, look at my eyes napisał:

* Jakich czynności dokonywano na kontach po włamaniu?

 

W dniu 15.05.2022 o 16:03, look at my eyes napisał:

* Jakich czynności finansowych dokonano na kontach użytkowników Maze Bank?

**Niezależnie od platformy analitycy stwiedzili iż z kont zostały skopiowane wszelkie dane, w tym adresy, IP z ostatnich logowań, dane osobowe itp. Nie doszło do zmian finasowych na kontach Maze Bank**

W dniu 15.05.2022 o 16:03, look at my eyes napisał:

* Konta Lifeinvader miały w jakikolwiek sposób powiązane ze sobą karty kredytowe, np. poprzez moduł mikropłatności?

**Zapewne miały (poprzez mozliwość zakupuy LI Pro) lecz jak ws. nie dosżło do zmian bilansu na kontach**

W dniu 15.05.2022 o 16:03, look at my eyes napisał:

* Analitycy IT dokonali działań mających na celu sprawdzenie, czy w ostatnim okresie nie doszło do wycieków haseł i tym podobnych do kont, na które się włamano. Porównano je z listą kont na które się włamano z danymi dostępnymi w DarkNet oraz zwykłym internecie. Jaki dało to wynik?

**Znikomy, brak porówniania z listą kont z DarkNet oraz internetu. Jedyne co stwierdzono to to że duża ilośc danych została ostatnio sprzedana anonimowo. Wyśledzenie kupca lub sprzedawcy jest niestety niemożliwe**

W dniu 15.05.2022 o 16:03, look at my eyes napisał:

* Jaki jest adres IP z którego dokonano włamania? Wskazuje on na inne tego typu aktywności w ostatnim okresie? Jest on powiązany z innymi przestępstwami?

**Adres IP wskazuje na zagraniczną firme z Chin, zajmującą się oprogramowaniem(HT Tech Works). Powiązanie IP z innym akcjami będzie trudne z powodu znikomego dostępu amerykańskiego FIB do baz danych ChRL(Ministerstwo Bezpieczeństwa Państwa). Wiadomo jednak że jedna z placówek HT Tech Works była również w Los Santos. Jej właścicielem był Hun Tao a jego dane kontaktowe widnieją jeszcze w liście przedsiębiorst San Andreas Government **

Edytowane 16 Maja 2022 przez TaOwca

[TaOwca]

W dniu 15.05.2022 o 16:03, look at my eyes napisał:

* Doszło do włamania na konta osoby szczególnie znanej medialnie?

**Nie, jednak kilkoro funkcjonariuszy lokalnego LSPD również padła ofiarą atakiem.

((Zagram to w ten sposób, reczywiście powinno paść ofiarą kilkoro postaci funkcjonariuszy, jednak aby uniknąć PG stawiam na granie, że ofiary to byli fikcyjni funkcjonariusze. Jeśli jednak wolisz zagrać to z prawdziwymi funcjonariuszami którzy padli ofiarą, a oni tez wyrażą zgodena to, to podam w następnej odpowiedzi ich dane))**

[I Feel Dead Inside]

* FIB poinformowało każdą osobę, której dane pozyskano o w/w fakcie przy pomocy administracji portalu Lifeinvader oraz administratorów systemu elektronicznego Maze Bank. Wezwano je także na przesłuchanie oraz do przekazania sprzętu elektronicznego. Zablokowano także do tych kont dostęp i ich odblokowanie jest w aktualnym momencie tylko i wyłącznie możliwe po uprzednim zgłoszeniu się do lokalnego biura terenowego i/lub placówki Maze Bank.

* ERT (grupa ds. IT) doszło do archiwalnej oferty sprzedaży. Konto z którego wystawiono ofertę jest aktywnie obserwowane przez FIB i w wypadku pojawienia się kolejnej oferty sprzedaży, automatycznie powiadomi agent Carter i Nunez o w/w fakcie.
* Jaka jest kwota za którą sprzedano dane (i na jakie z nich wskazywała oferta) i w jakiej formie dokonano płatności?
* Sprawdzono informacje na temat kont na które się włamano. Jest jakikolwiek widoczny i możliwy do wykrycia przez analityków IT i systemy do filtrowania wspólny mianownik, który łączy te osoby (np. miejsce zamieszkania, zatrudnienia, duża liczba wspólnych znajomych)?
* Jakich czynności dokonywano na kontach po włamaniu?
* FIB szuka informacji na temat przedsiębiorcy chińskiego pochodzenia, Hun Tao. Przebywa on aktualnie w San Andreas lub na terytorium US? Na mężczyznę agenci FIB tymczasowo nałożyli zakaz opuszczania terytorium US (jeśli na nim przebywa), który zostanie zdjęty po zgłoszeniu się do Field Office FIB.
* Jaka jest historia HT Tech Works dotycząca filii w Los Santos wedle danych posiadanych przez rząd federalny?

Spoiler

Hej. Pytania są dość ogólnikowe, bo nie mam prądu aby aktualnie wejść do gry i piszę to z mojego MacBook. Przejdę jednak do konsensusu.

1. Będę wdzięczny, jeśli znajdziesz fizycznych graczy i/lub z Event Team, którzy stoczą interakcję ze mną i Fotarix w celu zebrania informacji w świecie gry, bo zależy nam przede wszystkim na wrażeniach z rozgrywki, a nie rozgrywce forumowej. Przekazałbyś im informację do narracji i rozmowy, one na tym nie ucierpią, a zostanie to fajnie rozwinięte i pewnie będziesz mógł zobaczyć elementy naszej rozgrywki z tym związane bezpośrednio w temacie FIB.
2. Postać Hun Tao istnieje fizycznie na serwerze?.. Jeśli nie, to czy zagadasz do Event Team aby ktoś ją odegrał, o ile ta przebywa aktualnie na terytorium US?

[TaOwca]

9 godzin temu, look at my eyes napisał:

* Jaka jest kwota za którą sprzedano dane (i na jakie z nich wskazywała oferta) i w jakiej formie dokonano płatności?

**Wystawiona kwota wynosiła $150.000, w ogłoszeniu sprzedaży była mowa o "danych osobowych" oraz "informacjach o kontach" użytkowników Maze Bank oraz LI na terenie stanu. Informacji dot. płatności nie widać na archiwialnym ogłoszeniu. Zwykle cyberprzestępcy stosują fikcyjne firmy oraz pośredników do odbioru oraz prania pieniędzy. I w tym przypadku zachowano dużą ostrożność.**

9 godzin temu, look at my eyes napisał:

* Sprawdzono informacje na temat kont na które się włamano. Jest jakikolwiek widoczny i możliwy do wykrycia przez analityków IT i systemy do filtrowania wspólny mianownik, który łączy te osoby (np. miejsce zamieszkania, zatrudnienia, duża liczba wspólnych znajomych)?

**Raczej nie. Jedynie co stwierdzono że niemalże każda z ofiar ataku często wrzuca swoje zdjęcia do LI oznaczając Vespucci Beach. To jedyny wspólny mianownik ofiar.**

9 godzin temu, look at my eyes napisał:

* Jakich czynności dokonywano na kontach po włamaniu?

**Niezależnie od platformy analitycy stwiedzili iż z kont zostały skopiowane wszelkie dane, w tym adresy, IP z ostatnich logowań, dane osobowe itp. Nie doszło do zmian finasowych na kontach Maze Bank** ((Odpowiedziałem wyżej, moja wypowiedź tyczyła się obu zapytań. Po prostu odpowiedziałem w jednej wypowiedzi na oba cytaty.))

9 godzin temu, look at my eyes napisał:

* FIB szuka informacji na temat przedsiębiorcy chińskiego pochodzenia, Hun Tao. Przebywa on aktualnie w San Andreas lub na terytorium US? Na mężczyznę agenci FIB tymczasowo nałożyli zakaz opuszczania terytorium US (jeśli na nim przebywa), który zostanie zdjęty po zgłoszeniu się do Field Office FIB.

**Hun Tao aktualnie przebywa na terenie Los Santos. Jego dane kontaktowe znajdują się w ich bazie danych (został min. raz zatrzymany za niedozwoloną prędkość). Jeśli zakaz opuszczania terytorium US oraz nakaz do wstawienia się do Field Office FIB zostały mu wysłane, to na pewno wstawi się w najbliższym terminie**

9 godzin temu, look at my eyes napisał:

* Jaka jest historia HT Tech Works dotycząca filii w Los Santos wedle danych posiadanych przez rząd federalny?

**Od rozpoczęcia działalności 5 stycznia firma zajmowała się tworzeniem stron oraz systemów i oprogramowania dla takich klientów jak ERIS czy Eugenics Medical Center. 4 marca firma została zamknięta zaś jej właściciel pozostał w Los Santos.**

Spoiler

1. Nie ma problemu, wiem jak gracie i też wolę prowadzić temat w grze niż na forum. Napisze do ET ws. dogrania kilku postaci z tej akcji.

2. Hun Tao istniejej naprawdę i jak ws. przebywa na terenie Los Santos. Jeśli chcesz umówić się na gierke z nim to pisz na wiadomości na forum i ustalimy termin gry.

 

[I Feel Dead Inside]

* FIB wezwało Hun Tao do FO. Przedstawiciele agencji skontaktowali się także z Eugenics Medical Center.
* Agent Carter i Nunez (FIB) skontaktowały się z ofiarami przy pomocy FIB Police.

 

[I Feel Dead Inside]

* FIB przesłuchało Hun Tao w dniu 18/05/2022.

* Przedstawiciele Eugenics Medical Center przekazali cały system teleinformatyczny związany z HT Tech Works do analizy przez zespół IT ERT. Wewnątrz kodu znajduje się coś, co jest określane jako nietypowe, np. nieodpowiednie wstawki czy programy pobierające dane?
* FIB zbadało dokładnie informacje na temat zatrudnionych osób w lokalnym oddziale HT Tech Works i uzyskało ich dane. Jakakolwiek z tych osób (tzn. wcześniej zatrudnionych w HT Tech Works na terenie Los Santos) przebywa nielegalnie na terytorium US i/lub była wcześniej karana?
* Agent Nunez skontaktowała się z zarządem budynku w którym mieszkał Hun Tao chcąc potwierdzić fakt poruszony przez mężczyznę dot. kradzieży sprzętu elektronicznego. Przeprowadziła rozmowę ze wskazaną przez niego osobą i sprawdziła nagrania z kamer. Jaki dało to wynik? Co można było na nich zobaczyć?

[TaOwca]

20 godzin temu, look at my eyes napisał:

* Przedstawiciele Eugenics Medical Center przekazali cały system teleinformatyczny związany z HT Tech Works do analizy przez zespół IT ERT. Wewnątrz kodu znajduje się coś, co jest określane jako nietypowe, np. nieodpowiednie wstawki czy programy pobierające dane?

**Nie, system jest czysty. Do dziś działa bez problemów.**

20 godzin temu, look at my eyes napisał:

* FIB zbadało dokładnie informacje na temat zatrudnionych osób w lokalnym oddziale HT Tech Works i uzyskało ich dane. Jakakolwiek z tych osób (tzn. wcześniej zatrudnionych w HT Tech Works na terenie Los Santos) przebywa nielegalnie na terytorium US i/lub była wcześniej karana?

**Nie**

20 godzin temu, look at my eyes napisał:

* Agent Nunez skontaktowała się z zarządem budynku w którym mieszkał Hun Tao chcąc potwierdzić fakt poruszony przez mężczyznę dot. kradzieży sprzętu elektronicznego. Przeprowadziła rozmowę ze wskazaną przez niego osobą i sprawdziła nagrania z kamer. Jaki dało to wynik? Co można było na nich zobaczyć?

**W budynku w którym mieszkał Hun Tao (Blok przy Sinners Street, Textile City) nie ma zamontowanych kamer: Są to mieszkania średniej klasy za maks. 15 tysięcy. Dozorca budynku potwierdził że w mieszkaniu znalazł ślady włamania, dzień później Hun Tao opuścił mieszkanie. Nadzorca na życzenie nie zgłosił włamania policji. Aktualnie mieszkanie zamieszkuje inna rodzina która nie ma pojęcia o wcześniejszym włamaniu.**

[I Feel Dead Inside]

* FIB dalej grzebie w sprawie. Przesłuchano dziś Kris Towbell.

* Zbadano sprzęt komputerowy ofiar pod kątem infekcji urządzenia. Jaki dało to wynik? Czy do infekcji doszło poprzez sprzęt? Jeśli tak, to w jaki sposób?

[TaOwca]

21 godzin temu, look at my eyes napisał:

* Zbadano sprzęt komputerowy ofiar pod kątem infekcji urządzenia. Jaki dało to wynik? Czy do infekcji doszło poprzez sprzęt? Jeśli tak, to w jaki sposób?

**W każdym z komputerów znaleziono ślady malware, które mogło spowodować wykradnięcie danych. Malware ukrywało sie w pliku piosenki Love Fist.**

Edytowane 20 Maja 2022 przez TaOwca

[I Feel Dead Inside]

* FIB dalej grzebie w sprawie. Pozyskano od Kris Towbell płytę kultowego zespołu Love Fist.

* Czy nośnik danych był zainfekowany i znaleziono w nim malware? Jeśli tak:
* Jaki był sposób jego działania, gdzie przekazywał dane?
* ERT mogło uzyskać inne informacji wszelkiej maści z dziedziny IT dotyczące ataku, które mogłyby być przydatne dla śledztwa?

[TaOwca]

W dniu 23.05.2022 o 21:13, look at my eyes napisał:

* Jaki był sposób jego działania, gdzie przekazywał dane?

*Po odpaleniu odpowiedniej piosenki z albumu malware trafiało poprzez odczyt płyty do komputera. Plik oprogramowania, zaszyfrowany tym samym kodem co ścieżka dzwiękowa piosenki trafiał bez przeszkód do komputera, skąd nastąpywała instalacja złośliwego oprogramowania. Po intsalacji program znikał z radaru, stając się niemalże niewidoczny. Eksperci mogli zaobserwować niebywałą reakcje programu w którym plik "podpinał" się niczym pijawka do innych programów. Ustawiona wcześniej rotacja pozwalała tak na ominięcie skanu wirusa (podczas sprawdzania zagrożenia na komputerze skanowane sa pliki w ustalonej kolejności, złośliwy program podpinał się do programów na końcu kolejki po czym gdy pierwsze pliki zostały zeskanowane natychmiast zmieniał plik na jeden z zeskanowanych), zaś schemat rotacji oraz budowa kodu złośliwego oprogramowania jest kompletnie nowa dla ekspertów z ERT.

Program najwidoczniej monitorował aktywnosć oofiary i zapisywał dane logowań oraz hasła poszczególnych domen. Wysyłane one potem były na te samo IP, z którego dokonano sprzedaży danych.*

W dniu 23.05.2022 o 21:13, look at my eyes napisał:

* ERT mogło uzyskać inne informacji wszelkiej maści z dziedziny IT dotyczące ataku, które mogłyby być przydatne dla śledztwa?

*Jako że mają to do czynienia z nową techniką która nie jest im znana, raczej nie. Jedynie twórca lub ktoś okiełznany z kodem oprogramowania znalezionego na płycie Love Fist mógłby dać więcej informacji niż ERT.*