"Berlusconi" z LumériCo ovládá Dorado
Udělejte si přehled v Sombra ARG! (3. díl)
Seriál "Sombra ARG" před letošním Blizzconem strávíme na jednom virtuálním místě. Hacknutý Bastion krátkou zprávou "ACCESSWWWLUMERICOMX" odkázal detektivy na internetové stránky mexické společnosti LumériCo - lumerico.mx .
novinek se jako první zpráva objevila informace o otevření nového reaktoru v Doradu přesně 1. listopadu tohoto roku (dnes). Při slavnostním ceremoniálu bude přítomen i prezident společnosti,
Guillermo Porter. Druhá aktualita nese zprávu o nedávných odstávkách služeb, s čímž může mít souvislost i nedávná činnost Sombry.
V hlavním menu se dále nachází odkaz na krátké informace o společnosti LumériCo a přihlášení pro oprávněné osoby.
Nalezeny byly i krátké soubory robots.txt , omnics.txt a lumerico.mx/api . První zmiňovaný používají stránky při komunikaci s internetovými roboty jako je například GoogleBot a jemu podobní. V tomto případě zřejmě mají přístup také omnics.
V pravém dolním rohu je uvedeno i kontaktní telefonní číslo. V případě, že se jej pokusíte vytočit, ozve se ženský hlas opakující číselnou řadu: 5-2-4-1-3 (pause) 23-4-14-8-6-18-17-23-21-18-15. Po dosazení písmen dle pozice v abecedě, získáte následující WDNHFRQWURO. Za pomocí šifry ROT-23 je sdělení o něco jasnější:
TAKECONTROL(
převzít kontrolu)
Zpráva z hlasové nahrávky oklikou vede na stránku https://lumerico.mx/TAKECONTROL/index.html , která je z grafického pohledu velmi podobná podobě amomentincrime.com. Text je zakódovaný transpoziční šifrou, ale pomocí klíče 5-2-4-1-3 (první část telefonátu) jej lze rozluštit:
I'm congratulating you for getting in here. I only wanted to know if you were ready or not. (Hey, it's really difficult to get good help lately... you should see some of the clowns I'm working with). For now, let's continue with the true challenge: taking down Lumerico Corp president Guillermo Portero. Why? Because he's a greedy and corrupt man, and an abominable thief. His plan of bringing in line the most powerful and biggest zigurat the 1st of november us nothing more than a deceit, an elaborate plan by his gang to become even more influential in the people of Mexico and get more money. And who's gonna pay for that? Common people, the ones that are always forgotten.I've started upgrading my protocols so that they are used to take down the Lumerico Corp infraestructure and Los Muertos are also trying to go against the corruption. Meanwhile, search the Lumerico Corp site for info we can use against the bastard, or better, get his username and password so that hundreds "not so favorable" facts about the president start popping up.I was able to get the username and pass of a Lumerico Corp employee, start here:GFlores/g#fNwP5qJVe zkratce nás Sombra informuje o plánu svrhnutí prezidenta společnosti LumériCo. Podobně jako mnoho mocných lidí začíná i on zneužívat svého postavení a stavbou největší elektrárny v Doradu jen posiluje vliv nad místními lidmi. Ve spolupráci s Los Muertos se Sombra pokouší narušit tento zkorumpovaný svět a posílá přihlašovací údaje jednoho ze zaměstnanců.
Většina emailů zaměstnance Gonzalo Florese není svým obsahem zajímavá, tedy až na jeden.
| De:Valeria Valderrama<VValderama@lumerico.mx>; Para:Gonzalo Flores<GFlores@lumerico.mx>; Asunto:Página de Guillermo Hola, Gonzo: ¿Puedes ver el tráfico de https://lumerico.mx/president-bypass? Guillermo debería ser el único accediendo desde su página de inicio privada, pero parece que está teniendo mucho tráfico. Tal vez tengamos que escalar esto a la señorita Jiménez, pero quiero estar segura de que es digno de su tiempo. Valeria Valderrama |
Odkaz sice vede na stránku s nápisem "
přístup zamítnut", ale zdrojový kód poodhalí další střípek tajemství
"President Auth-Bypass Revision 1.02: /.git/". Toho využil jeden z detektivů, kterému se podařilo pomocí git protokolu vydolovat z /.git/ subpage další data a nahrál je na Github . Kód v pozadí obsahoval nejen soubor
class.authentication.phps
šifrovací funkcí, ale i
class.president-bypass.phps přihlašovacími údaji samotného prezidenta Guillerma Portera.
user name:
GPorterozašifrované heslo: ?MzY:MTI5:?AzY:OWM?:?EDO:ZGU?:jVTM:MTJm:2ITM:MTUw:?QjY:OWY?:?kTO:MTQx:?MzY
Techničtí nadšenci ve zmiňované skupině na Diskordu provedli reverzní šifrování z class.authentication.php a podařilo se jim získat heslo. Přihlašovací údaje jsou nyní konečně kompletní.
GPortero/Xy@4+Bkuqd<53uJTřicet minut po přihlášení zaznamenala vetřelce i Sombra a poslala skrytý email.
"Vidím, že se ti podařilo získat přístup k tomuto účtu.Neboj se, pokud se přihlásí z jeho obvyklých IP adres, tak tuto zprávu neuvidí. Potřebuji ještě chvíli času, abych nastavila další protokoly. Buď připravený na příští týden. Vykopu na něj nějakou špínu, která jak náhodou unikne na veřejnost. Uvidíme, jak zareagují média."Jak napsala, tak se stalo. Sombra se na týden odmlčela.
25. října přišly na účet GFlores nové emailové zprávy, které bohužel přímo nesouvisely se Sombra ARG. Naopak došlo k updatu souboru
omnics.txt:
"
Allow: Tzolk'in Allow: Imix ChikchanManik Imix ChikchanImixChikchanImix Manik Chikchan Imix Kimi Chikchan Chikchan Kimi ChikchanImixChikchanImix ChikchanKimi"
Tzolk'in je v překladu
Mayský kalendářa druhý řádek obsahuje řadu zvířat z kalendáře v dialektu Tzolk'in. Imix - Den 1, Chikchan - 5, Manik - 7 a Kimi - 6, po převodu na čísla získáme řadu 1 57 1 5151 7 5 1 6 5 5 6 5151 56. Převedení těchto číslic na mayská čísla zapsaná horizontálně se opět po krátké době vracíme k morseovce: . -..- . -.-. ..- - . .- - - .- -.-. -.- (
EXECUTEATTACK- Proveď útok)
Podobně jako v případě TAKECONTROL, nás EXEUTEATTACK zavedl na stránku https://lumerico.mx/EXECUTEATTACK/index.html , ukrývající jednu z poslední zpráv.
"
The moment has come. These emails exposed the truth about Portero, initiated the revolt, and have convinced people of Mexico to support our cause. Now is the time to strike. Convert his precious inauguration on November 1 to a large movement against it. I need you to do one thing: Get access to the email security chief and seek some form of help in the attack. You may see her contacting Portero soon. I've changed her password: d0r*NuLw9"
"Nastal čas. Tyto emaily odhalují pravdu o Porterovi a iniciovaly první protesty. Mexičané nás začínají podporovat. Je čas udeřit. Proměníme jeho slavnostní otevírání 1. listopadu na demonstraci. Potřebuji, abys udělal jednu věc: získej přístup do schránky šéfky bezpečnosti a pokus se ještě něco najít. Jistě bude brzy kontaktovat Portera. Změnila jsem jí heslo: d0r*NuLw9"Z přechozí emailové komunikace přihlašovací jméno známe (
MJimenez), a tak nám již nestojí v cestě při nabourání stránky jako admin.
Pod ciferníkovými ukazateli se nachází konzole administrátora, která je bohužel odpojená. Nezbývá než čekat na novinky, které by se měly dnes objevit. Dlouhou chvíli si zatím lze krátit pročítáním emailů. Najdete zde například i spojitost s Viskar Corporation a Symmetrou. Stránka Lumérica je velmi propracovaná a rozebrání každé zprávy, by mohlo vydat na celou knihu.
Jedno je ale jasné, Sombra ARG rozhodně nekončí, a tak se jistě brzy setkáme u dalšího pokračování!
