Terminalita #40 - Blackhat

<time datetime=2017-08-31T00:00:00>31. 8. 2017</time> — k47

Všechno začalo dávat smysl, když jsem druhého dne zapnul počítač a místo obvyklé startovací obrazovky na mě vyskočil bílý text na černém pozadí. Četl jsem:

"Je nám jasné, že nás budete nesnášet, budete nás nenávidět a budete nám nadávat, když se dozvíte pravdu. Byli jsme to právě my, kteří měli kdysi varovat Pea, že se k vám vloupají a chystají únos. Jeden náš velice dobrý zákazník nás požádal, abychom vás varovali, ale i přesto, že bychom to nedělali zadarmo, jsme museli odmítnout, protože Peo je vysoko na seznamu našich nepřátel. Jde o starou záležitost, kterou nikdo z nás nezapomene. Onen zákazník nám řekl jenom to málo informací, nic víc jsme nevěděli.

Zároveň jsme to byli my, kteří útočili na vaše počítače a nakonec se nám je podařilo hacknout a dostat se dovnitř s právy superuživatele. Byla to práce pro jiného zákazníka, který platil velice štědře. Chtěl vás sledovat, chtěl vědět, kde budete, co chystáte, jak žijete. Nevěděli jsme, kdo to je a proč by po nás mohl chtít, abychom se zabývali právě vašimi nevýznamnými počítači. Ale jak jsme řekli: zaplatil.

Ironií osudu bylo, že jsme se ve stejné době domlouvali s Raiden o nasazení vašeho zajímavého sledovacího systému na část našeho botnetu.

Později jsme se bavili s Raiden a ona si z té doby nepamatovala vůbec nic, úplně ztratila paměť. Dostali jsme strach, že se to všechno točí kolem ní. Jistě pochopíte, že jsme nemohli jakkoli přímo varovat policii. Ta je v tomhle děsivě neefektivní a navíc bychom na sebe jenom upozornili, což je poslední věc o kterou stojíme. Navíc jsme v rukách neměli nic přesvědčivého, jenom dojmy a ty jsou k ničemu. Vy sami jste vloupání nenahlásili a proto policie nemohla mít ani špetku podezření. Začali jsme pátrat, co se vlastně děje, protože jsme nechtěli, aby se Raiden něco stalo.

Později jsme zjistili, že všechno začalo už únosem dcery Raoula Garcii den před tím vloupáním. Garcia byl později zabit, rozpůlen a zakopán v polích za městem. A hned následující den ho někdo našel, vykopal a předal policii. Ten někdo zajisté musel vědět, co se děje.

Ještě o něco později jsme zjistili, že náš velice dobrý zákazník, který vás chtěl varovat, byl jakýsi Tomas Thorsten Hertzmann a nakonec nejspíš někoho z vás varoval sám.

Obrátili jsme pozornost na toho dalšího zákazníka, který chtěl, abychom se prolomili do vašich počítačů. Nebylo to vůbec snadné sledování, měl dobré zabezpečení a šifroval všechna spojení, ale podařilo se nám podvrhnout certifikát podepsaný pomocí hashe MD5 a najednou jsme se stali důvěryhodným zdrojem a mohli poslouchat jeho přenosy. Podařilo se nám zneužít bezpečnosní díry ve staré verzi poštovního klienta a speciálním mailem jsme na jeho stroji spustili shellcode. Začali jsme pročítat všechny jeho emaily a z jeho korespondence jsme se dozvěděli, že tomu člověku všichni říkali Baron Igor. Většina mailů se týkala obchodních záležitostí, prodej, nákup, invesice, stavby nemovitostí, očividně dělal do mnoha oborů, hospody, bary, hotely, pohostinství a chtěl masivně expandovat. Zajímavé to začalo být, když jsme se dostali k mailové korespondenci s Raoulem Garciou a ještě s někým, o kom si myslíme, že byl Peův otec. A nešlo o nijak příjemnou konverzaci. Tenhle Baron chtěl násilně a navzdory jejich vůli převzít většinu jejich podniků a vymýšlel různé kličky a padala i dost silná slova, která by se dala označovat za vydírání. Prodírali jsme se záplavou mailů a narazili jsme na konverzaci s někým, koho Baron nazýval Hertzmannem a podle všeho k němu choval značnou úctu. Baron se ho ptal jestli pro něj není ochoten vyřešit neshody s panem Garciou a jeho společníkem. Buď on nebo někdo z Bratrů Karamazových. Hertzmann doslova odpověděl: 'Igore, ty ses zbláznil. Únosy a vydírání? Myslím, že od našeho přátelství očekáváš víc, než povoluje přirozená lidská slušnost. Nic takového nikdy neudělám. Nezapomeň, že jakmile se k nám otočíš zády, do večera u sebe máš razii a skočil jsi. Kdybych musel, udělal bych to, i kdyby to měla být moje úplně poslední akce.' Baron odpověděl, že plně respektuje jeho přesvědčení a že na tuto práci povolá dva specialisty. V mailech jsme se hrabali další půlhodinu, než jsme našli jeden, kde posílal tváře těch svých 'specialistů' do nějakého svého podniku, aby je tam pouštěli zadarmo a vyhověli jejich přáním.

Pátrali jsme dál. Použili jsme několik digitálních archivů záznamů bezpečnostních kamer, kam jsme pronikli už před rokem a od té doby jsme se občas dívali, co se děje po městě. Stáhli jsme všechen relevantní materiál od doby vloupání do vašeho bytu a pak nám pomohli ruští crackeři, kteří pomocí CPU a GPU z PS3 lámali hesla. Právě oni nám pomohli najít kolizi toho MD5 hashe. Měli k dispozici neuvěřitelný výpočetní výkon. Poslali jsme jim všechna videa, fotky těch dvou 'odborníků', optimalizovaný program na rozpoznávání tváří, hromadu rublů a čekali na výsledek. Za dva dny nám poslali zpět všechny záběry, kde se vyskytovali. Najednou všechno dávalo smysl. V den vloupání jsou vidět tito dva 'specialisté' na několika záběrech, jak se blíží k vašemu domu. Stejně tak toho dne, co byl zabit Garcia. Často se vyskytovali na stejných místech jako vy a dost často se kolem nich motala nějaká holka. Bohužel ona nežije online a proto jsme o ní nemohli nic užitečného najít.

Nic z toho, co jsme našli, jsme pochopitelně nemohli předat policii – žádný ukradený mail, žádný záběr bezpečnostní kamery. Nechtěli jsme na sebe upozorňovat, ale přesto jsme velice opatrně anonymně upozornili policii. O spojení mezi obchody Raoula Garcii, únosem jeho dcery a možným ohrožením jeho obchodního partnera a jeho syna. Nedělali jsme to z dobré vůle, ale proto, že spolu s Lîlou už dlouho sledujeme dva podvodníky, kteří si říkají Lazar a Calderon. Kdysi dávno parazitovali na Raiden a právě Lîla jí pomohla se jich zbavit. Oni dva také pracují pro Barona a podle informací, které zatím máme k dispozici to vypadá, že ve všem, co se stalo, mají prsty. A zapojení policie do hry by nám mohlo pomoci rozhýbat ledy.

To je všechno, co jsme chtěli říct. Stáli jsme na obou stranách barikády současně a ještě u toho sledovali svoje zájmy. Nemohli jsme dopustit, aby se něco stalo Raiden. Doufám, že se obchodně setkáme v lepších časech.

Ještě dnes vám přijde mail s adresou FTP serveru odkud si videa můžete stáhnout. O půlnoci se všechna data automaticky smažou. Ujistěte se, že jste anonymní.

Toto, do čeho jste nabootovali, je maličké linuxové disto, které jsme vzdáleně nainstalovali na tento počítač. Před vypnutím se sama smaže a diskový oddíl, na kterém je nainstalovaná se sám přepíše digitálním smetím. Michael Ellis aka Trudy, BlackHat."

Mohl jsem vypnout počítač násilím, disk dát do jiného stroje, oddíl zkopírovat a získat z něj tento soubor, ale nemělo to cenu. Bylo po všem. Party skončila.