ELEKTRA, №1.

Выпуск первый (не выебывайся про нулевой, программист хуев). Наша газета - единственный луч в темноте киевского цифрового ундерграунда. Кто написал не знаю, а я лох читаю.
Сегодня в выпуске:
> Разламываем украинскую ИКЕЮ об колено: хуяк и хак
< Ночной войс DC8044 - что. За. Пиздец.
> Исправительно-трудовой лагерь "NITROGEN". НеВыдуманная история. [[ЧИТАЙТЕ ПРО НИТРОГЕН В БОНУСНОМ ВЛОЖЕНИИ К ГАЗЕТЕ]]
< Финалка про фейко-Дию. Владислав и Леха: две истории, одна бутылка.
> Хакерспейс в Киеве. Что о нем слышно? (Спойлер: пока нихуя).

РАЗЛАМЫВАЕМ украинскую ИКЕЮ об колено: хуяк и хак.

Первого февраля сего года с шумом, гамом и хайпом в Киеве открылся первый официальный магазин IKEA. Это событие выпало аккурат в счастливые карантинные времена, когда крупные магазины и прочие торговые центры вынуждены были считать количество посетителей на квадратный метр. Так у ИКЕЯ появилась электронная очередь. Ебанина с записью, живое столпотворение народу на входе и прочие прелести. Многие тогда обратили внимание на интересный IP-адрес, который любезно предоставляли для записи в электронную очередь, и не зря. Хуй с ним, что на сервис не повесили сертификат и к нему подключались просто по http. Энтузиасты из комьюнити пошли немного дальше и докопались до служебной информации Альфа-банка. Епта, че, уже интересно? Тогда погнали. 

Сразу хотим вставить ремарку (Эрих, спокойно): на момент написания этого материала многие данные уже потеряли свою актуальность. Однако на момент эксплуатации все было охуенно, что мы непременно докажем соответствующими пруфами. 

Итак, запись в электронную очередь ИКЕЯ выполнялась по адресу: http://46.28.194.78:81/services

Поняв, что раз туда не удосужились прикрутить даже летсенкриптовский сертификат, то походу все довольно плохо, решили начать с малого. Простым запросом в Шодан нашлись висящие на других портах этого хоста любопытные штуки, среди которых была некая админка на 8080.

Админка являлась точкой входа в софтину с названием Qmatic orchestra, функциональность которой заключается в управлении очередью клиентов. Что же сделал наш энтузиаст? Он сделал запрос в гугл такого вида: qmatic orchestra default password. И ВНЕЗАПНО зашел в эту админку с кредами суперадмина, который автоматически создается при инсталляции.

В админке, конечно же, обнаружились все потроха этой софтины: лог с данными (телефоны и т.д.) всех, кто записывался в электронную очередь киевской ИКЕЯ с момента ее создания, и безграничные возможности эту очередь всячески менеджить. Интересной возможностью было управление текстом СМС сообщения, т.е. можно было написать совершенно любой текст, который приходил бы всем, кто становится в электронную очередь.

Не останавливаясь на достигнутом энтузиаст продолжил свой рисерч. В разделе Notification Admin были обнаружены вкладки SMS и Email. Во вкладке Емейл сконфигурированы нотификации на мыло компании-интегратора решения (этой компанией выступал HASL.UA), указан SMTP сервер, логин и пароль звездочками. Тут сказалась кривость этой платформы, которая отдает пароли в веб: если открыть консоль разработчика в браузере, и там где вписан пароль поменять тип поля с password на text, то можно увидеть РЕАЛЬНЫЙ пароль в плейнтексте.  

Аналогичная ситуация с SMS-центром: проделав ту же штуку с консолью был получен пароль и там. С помощью добытых логина и пароля не составило труда зайти на сам сервис по отправке SMS. Там можно посмотреть всю историю отправок СМС сообщений: когда и на какой номер отправлялись, текущий баланс пользователя, историю пополнений и на кого зарегистрирован технический аккаунт (этим кем-то оказался Дмитрий с телефоном на 067 и укрнетовской почтой). По доступным функциям: оттуда можно было, например, сделать любую масштабную рассылку СМС на тысячи номеров в пределах всего бюджета заказчика, который был туда влит. 

Возвращаясь к вкладке емейл: получившиеся координаты смтп сервака и креды были протестированы клиентом Thunderbird. Подключение оказалось валидным и ресерчер успешно подключился к почтовому серверу компании-интегратора решения (smtp.hasl.com.ua порт 2525), где среди прочего хранилась рабочая переписка сотрудника dmitry.bosomykin@hasl.com.ua. В этой переписке с клиентами обнаружились письма с сенситивной информацией компаний ИКЕА, Альфа-банка, Новус и других корпорейт клиентов HASL: всевозможные доступа, ключи к лицензионному софту и прочие, весьма служебные, вещи.

Чек на валид разных вещей дал валид.

Энтузиаст ничего не трогал, оставил все как есть. Ебитес.

Ночной войс DC8044 - что. За. Пиздец.

Вы любите кошек? А умеете ли вы их готовить так, как это делает Шмель на своем кулинарном шоу? 

Вы не ослышались. Иногда по ночам в войсе DC8044 включается трансляция с уютной кухни. Ножи, сковородки и прочая кухонная утварь в руках Шмеля превращается в магические предметы для сотворения изысканных блюд. Нельзя не вспомнить о его фирменной шаурме с требухой и лучком. А буррито с условно-съедобными грибами? Кроме шаурмы и буррито Шмель готовил восстание, настоящий цифровой апокалипсис с майонезом "провансаль". Но если вам захочется чего-то по-настоящему оригинального, то попросите Шмеля заебашить хорошую порцию "поплавы". Поплава это блюдо, которое он готовит исключительно для душевных посиделок за настолками в кругу лучших друзей. Сковородка поплавы, между прочим, обходится чуть дороже стандартного борщевого набора, да и не все продукты можно сразу найти в Сильпо: придется поискать кое-то в магазинчиках с халяльной едой, да заглянуть в аптеку. Но если все в наличии, и на кухоньке дымится сковородочка с отменной поплавой - устоять невозможно. Это чувствуется даже через монитор.

Короче, подключайтесь к нашим трансляциям чтобы ощущать себя более вовлеченными! Регулярности трансляций к сожалению нет, это ж не месячные. Есть хаотичность. Обсуждают, кстати, всё. Непременно обсудят и вас. Кроме Шмеля, который провел уже несколько познавательных трансляций по 3-д печати киберхуя (последний, кстати, был продан за донат в 1337 денег, и это не шутка), там бывают и другие интересные персонажи.

Например, Англичанин с чудесами интерполяции. Или вот человек-лис: в прошлый раз он лепил из оранжевого пластилина каких-то чубзиков, а потом вместе со зрителями мастерил оригами.

На огонек заходят и другие яркие личности нашего комьюнити. Любопытно, что в ходе трансляций их авторы собирают донаты. Вы уже заинтересовались, это точно, поэтому запасайтесь мефедроном и тихонько ждите. Когда наступит ночь и вы увидите активность в дисишном войсе, то сразу закидывайтесь горстью веществ и неудержимо врывайтесь! Размещено на правах рекламы.

Финалка про фейко-Дию. Владислав и Леха: две истории, одна бутылка.

Чувствуем, настало время подвести промежуточные итоги по приложениям, мимикрирующим под официальную аппликуху Дия. 

Итак, на просторах нашего комьюнити вниманием пользовалось два таких "продукта". 

Самым Самым Первым стал разработанный дарованием из Вольнянска (Владиславом) андроид-кринж, выполнявший роль визуальной копии приложения Дия, с возможностями ввода любых данных в качестве ФИО, прикрепления любой фотографии для последующего отображения в псевдо-паспорте и правах. А главное - сертификат вакцинации. Конечно, все это не выдерживало критики: валидации через QR-код не происходило, а грамматические ошибки в полях документов как бы намекали. Под капотом находился юнити, а в переговорах с селлером - реальная банковская карта разработчика этой аппликухи. Следует особо отметить, что вышедшая статья с деаноном никак не повлияла на судьбу пацана и не помогла в расследовании киберполу: задолго до этого на историю с продажей приложения возбудились соцсети, СМИ, далее - министерство цифровой транцсформации, и в свою очередь киберкопы. Те, конечно, тоже видели номер карты, - ведь селлер раздавал ее всем желающим покупателям, и прикинув хуй к носу засобирались в Запорожскую область. И уж потом вышел в паблик материал с деаноном. В любом случае, на что надеялся разработчик, запалив свою карту каждому встречному-поперечному - до сих пор загадка. Одно ясно: так делать не стоит. В какой-то момент челик увидел внимание СМИ к его детищу и понял, что дал маху, налажав с опсеком своего бизнес-проекта и базовым прайваси. Принялся подчищать следы, удаляя аккаунты и переименовывая канал в телеге, но было уже поздно. Долго ли, коротко ли, раздался стук в двери и на пороге объявились менты с постановой и обыском. Видео блестящей операции показали по всем новостям, но и это еще не конец истории. В тот же день Минцифра заявила на паблик, что собирается отбить талантливого парня из рук правосудия: дескать он честно отработает трудодни в IT-лагере труда без отдыха. Кровью смоет свой позор перед Родиной. Таким вот образом парнише сперва показали бутылку, особо отметив ее высоту, диаметр горлышка и дальнейшее утолщение, а потом смузи-машину. Нетрудно догадаться, что он в итоге выберет. Кстати, поделку Владислава некий энтузиаст из DC8044 разобрал, отломил авторизацию и вылил крякнутую версию в паблик на канале, сделав последующую продажу бессмысленной: https://t.me/DC8044_Info/1786

UPD: На момент подготовки выпуска персонаж уже находился в Киеве, на приеме в министерстве. Социальный лифт, отработав таким вот непредсказуемым образом, остановился - если верить министру, то такой способ трудоустройства больше не актуален. 

Спойлер: читайте продолжение тематического фанфика о киевских сталкерах и концентрационном лагере для айтишников "Нитроген" в следующем выпуске Электры! Первая часть: https://telegra.ph/ELEKTRA-12-01

...

Где прошел первый, там пройдет и второй. Параллельно описываемым выше событиям обнаружился еще один клон Дии. На этот раз все было гораздо интереснее. Для тех, кто немножко не следил за событиями уточняем, что сейчас речь пойдет о веб-приложении с названием Дія-Хуія. Оно состояло из двух компонентов: телего-бота, с помощью которого пользователь покупал продукт и "администрировал" его (менял необходимые данные), и собственно фронтенд части, на которой происходила уже отрисовка данных по специальной ссылке, уникальной для каждого пользователя. Таким образом, проверка QR-кода была реализована ссылкой на фейковый сайт, где выводилось окно с подтверждением данных. Пользователь получал ссылку на свою копию "Дии" и добавлял ее к себе на рабочий стол смартфона как PWA. Как минимум, этот клон был на голову круче предыдущего, потому что имел возможность сгенерить QR, с помощью которого можно было ввести неподготовленного человека в заблуждение. Так же была нормально реализована система авторизации, с подпиской, в отличие от вышепоиметого андроид-приложения с какой-то кривой авторизацией на firebase, которую разработчику приходилось вручную администрировать, выдавая пользователю временные креды для входа. Итого: качественный фронтенд был, анимации даже были, а фишка с «документы верны» по QR коду крайне прикольно выглядела, правильно воздействуя на лоха. 

Как развивалась эта история дальше? Автор Дии-Хуии увидел судьбу первопроходца из Вольнянска, сложил в уме два плюс два и стремительно закрыл проект, объявив его полную продажу на аукционе, организованном через телеграм. Туда тут же набижали людишки из легиона, накрутив цену до почти полутора лямов гривен. Заподозрив неладное автор свернул аук, призвав желающих обращаться к нему лично с запросами о покупке. Дисишные не отставали, взявшись уже за самого автора. Несколько часов ночного чата, мозгового штурма и очень злого OSINTa, где использовались практически все доступные техники, приемы и средства, привели к деанону челика. Фраза про кличку кота попала в локальные мемы, а сам чел неожиданно для всех заломился прямо в войс DC8044. Оказалось, что он наблюдал за ходом всей истории с самого начала: можешь только представить свои ощущения, когда тебя пошагово деанонят онлайн чуть ли не в прямом эфире. Тем не менее, оказался он весьма корректным и добрым парнем, с философским отношением к происходящему. Из его истории выходило, что он уже пробовал себя в разных около-скам проектах и пока ищет свой путь в этой жизни. С клоном Дии он накрепко завязал, и пока не вполне ясно, чем обернется вся эта история для него лично. Очевидно, что его проект померк в лучах славы предшественника, хотя был реализован уровнево выше, продуман, а бизнес-процессы должным образом выстроены. Вот бы кому реально предложили работу в Минцифре, однако, как говорят: "солдату Ивану за атаку хуй в сраку, а санитарке Маше за пизду - Красную Звезду!". Олды поймут. Как и в предыдущем кейсе, нашлись желающие на разбор сорцов этого продукта, более того - сам автор любезно ими поделился с исследователями. В результате исследований, бекенд Діі-Хуіі трошки разъебали в недавней статье, но на то он и бекенд. Покажите мне бекенд любого другого продукта, лол, ахахах, каждый пусть вспомнит и тихо улыбнется про себя. Сорцы были опубликованы в той же статье: https://t.me/DC8044_Info/1794

UPD: На момент подготовки выпуска, в квартиру к Лехе (автору Дии-Хуии) заломились киберменты с киберпсами, КОРДом и прочей свистопляской. Как это обычно бывает с громкими задержаниями, двери бойцам КОРДа стесняясь открыл семнадцатилетний парень. Его взяли на испуг, добрые дяди-мусора душевно попросили предоставить максимум информации, что Леша и сделал по простоте душевной. Предоставил логины, пароли, явки. На данный момент, по самой свежей информации: с Лешей удалось выйти на связь. От лица коммунити ему предложили финансовую поддержку и охуенного адвоката - парень отказался и от того, и от другого. Уверил что все нормально и помощь не нужна. Взял контакты, если что будет нехорошо - обратится.

В сухом техническом остатке: 

1. .apk Фейко-Дия: говно, kiss, никаких анимаций, прототип ебаный, android only

2. Дія-Хуія бот + вебсайт: круто, готовый продукт, с анимациями и кроссплатформенностью IOS + android.

Сейчас интернет заполонили всевозможные фейковые поделия разной степени говняности, а киберменты хватают детей за нарисованную Дию. Будем держать вас в курсе. Счет застреленных спецназом младшеклассников во время задержания открываем на раз, два, три...

За Дию и двор стреляю в упор.

Хакерспейс в Киеве. Что о нем слышно? (Спойлер: пока нихуя).

Пока вы тут сидите, Шмель и компания насобирали уже под 10К ежедневно укрепляющейся валюты в виде донатов. Что-то мутят, по всей видимости появится некий гараж для тусовок киевского сообщества и гостей из других городов. Предусмотрено ли там место для туалета, или хотя бы для установки ... для установки Кали Линупс - доподлинно неизвестно. Пожелаем удачи ребятам в их начинании, ожидаем внятных новостей по хакерспейсу в какое-то ближайшее время.

ОПОСЛЕСЛОВИЕ

Это был пилотный выпуск газеты "Электра". Все совпадения материалов с реальными событиями и людьми - случайны. Любые скриншоты и информация взяты из открытых источников и предоставлены исключительно в целях обучения. Авторы материалов выпуска не знают друг-друга и не несут ответственности за опубликованные материалы.
Администрация телеграм-каналов и чатов DC8044 Newf4G и DC8044 F33d не знает авторов опубликованных материалов, может не разделять их мнение и анонимно получила материалы для публикации через телеграм-бота "предложка" @DC8044_echo_bot

Присылайте ваши материалы для публикации.
Всем пока, до встречи в следующих выпусках.