true story... Заключенные, 2 ПК и взлом тюремной сети.

• Давно не было занимательных и интересных историй у нас в ленте. Сегодня исправим эту ситуацию и ознакомимся с реальным случаем о заключенных, которые смогли собрать 2 ПК, взломать сеть тюрьмы и занимались нелегальной деятельностью в интернете. История достаточно старая (2015 год), но весьма увлекательная и интересная:

• Пятеро заключенных из исправительного заведения Марион (Marion Correctional Institution (штат Огайо), далее MCI) тайно собрали два компьютера, спрятали их за подвесным потолком в служебном помещении, взломали сеть тюрьмы, получили возможность проходить в запрещенные для заключенных зоны и занимались нелегальной деятельностью в интернете. Все перечисленное стало возможно благодаря тому, что заключенные работали по программе Green Initiative, где занимались утилизацией различной электроники.

• Администраторы MCI начали замечать нечто странное летом 2015 года: аккаунт, принадлежавший одному из подрядчиков тюрьмы, стал превышать дневную квоту трафика. Затем похожее поведение стали демонстрировать учетные записи других сотрудников, в том числе в выходные дни, когда этих сотрудников вообще не было на рабочих местах. Хуже того, несколько дней спустя эти служащие стали предпринимать попытки уклониться от прокси, которые следили за трафиком. Подозрения администраторов дали старт полноценному расследованию, в ходе которого странную активность удалось отследить до компьютера, который фигурирует в отчете как -lab9-. Это имя совершенно не вписывалось во внутреннюю систему присвоения имен.

• В итоге подозрительный трафик проследили до 16 порта коммутатора, расположенного на территории тюрьмы, а затем обнаружили, что кабель, подключенный к устройству, уходит в один из соседствующих шкафов, а затем за подвесной потолок. За фанерными плитами потолка сотрудники MCI с удивлением обнаружили два работающих компьютера.

• На двух обнаруженных жестких дисках следователи нашли немало интересного: хакерские инструменты, легитимный софт, следы нелегальной активности. Криминалисты пишут, что были обнаружены самоподписанные сертификаты, аккаунты Pidgin, ссылки на различные Tor-сайты и следующий софт:

CC Proxy, Cain, Zed Attack Proxy (ZAP), #Wireshark, #NMap, ZenMap, Webslayer, JanaServer, Yoshi, AdvOr #Tor Browser, THC Hydra, Cavin, Paros, 3CXVoip Phone, #VirtualBox, TrueCrypt, CC Cleaner, VideoLan, Clamwin, phpBB, SoftEther VPN. OpenVPN и другой кастомый софт.

• Как оказалось, заключенные не просто «выходили в интернет», они перехватывали тюремный трафик, взломали аккаунты сотрудников и скомпрометировали сеть тюрьмы, получив доступ к системе Departmental Offender Tracking System. После этого они получили доступ к внутренним записям о других заключенных и смогли выпустить пропуска для доступа в закрытые зоны MCI.

• В интернете преступников тоже в основном интересовала криминальная деятельность: они читали статьи об изготовлении наркотиков и взрывчатки в домашних условиях, изучали схемы мошенничества с банковским картами и возвратом налогов, а также смотрели порно и общались с родными. Кстати, стоит сказать, чтение не прошло даром, в рамках мошеннической схемы преступники пытались выпустить кредитные карты на имена других заключенных, ведь недостатка в чужих личных данных не было.

• После того как все пятеро хакеров были идентифицированы, их разделили, и теперь они отбывают наказание в разных исправительных учреждениях.