План сработал отлично. Мыш заплатил $100 какому-то относительно местному бомжу за то, что оный подключил двадцатиметровый кабель розетки к продуктовому киоску, а затем рано утром, в момент пересменки охраны фирмы, подошёл вплотную к стене, за которой, по нашим расчётам, должен был находится регистратор, с микроволновой печью без крышки, поставил её на землю, несколько наклонив вверх, включил на полную мощность и преспокойно ушёл.
В этот же вечер ничего не подозревающий сотрудник фирмы скачал наш драйвер с подменённого сайта. Мы не стали сроить велосипеды, а просто скачали оригинальный драйвер, дизассемблировали его и дописали прямое открытие сокета для всех желающих в виде части оригинального драйвера. Я не шибко мастер в языках ассемблеров, но этот был уж какой-то совсем порезанный. Благо, там уже были участки кода со схожей функциональностью, так что хоть не пришлось наугад ждать всех возможных прерываний и сигналить во все возможные порты. Выждав пару дней, Мыш принял решение начинать DDoS, так что я подготовился к атаке. Но вот к тому, что я увидел после неё, я не готовился никогда. Ботнет начал атаковать досаточно синхронно, прошло 13 минут с момента первого пакета до момента 100% вовлечённости. Сервера фирмы отлично фильтровали трафик, много упало ещё на уровне чего-то типа роутера провайдера, судя по логам трассировки. В какой-то момент один роутер ненадолго ушёл в очистку кеша и сессий, в сей момент регистратор открыл свои прелести нашему взору и мы вошли в сеть. Перво-наперво я начал активный ARP-спуф всей сети вокруг — во время DDoS извне подобную атаку часто можно принять за сбой работы одной из сетевых карт. Нормальным решением в такой ситуаци будет реавторизация участников сбоившей сети на роутерах, чего я и добивался, чтобы регистратор прикинулся компьютером одного из работников, чьи данные для входа у нас были. Мыш занялся маскировкой соединения, заставив регистратор до сброса сессий прикинуться роутером с -P FORWARD ACCEPT. И вот, момент истины — роутер, который обслуживает, в том числе, и регистратор, сбрасывает кеш и сессии и я успеваю влететь в новую сессию вместо одного из компьютеров. Полный доступ к внутренней сети.
Знаете, наверное, нельзя сказать, что ты входишь в помещение и чувствуешь его запах, если ты здесь лишь в роли духа ssh. Но ежели путь твой возлёг через DVR-регистратор, то, так уж вышло, разделишь ты путь свой с видеопотоками. Меня всё ещё мучал основной неразгаданный вопрос этой фирмы: зачем кому-то понадобилось оформлять тремя сотнями видеокамер наружного наблюдения и пятнадцатью видеорегистраторами дом размером с полторы захудалых школы. Недолгие манипуляции с vlc и я уже стримил их видеопотоки с одного регистратора на свой VDS, с которого проводил атаку. Ещё немного манипуляций и я разделил доступ к потокам между фирмой, собой и Мышем, который начал качать старые архивы и запустил пару скриптов для проверки жёстких на наличие биткоин-кошельков. Я не видел видео (не конвертировать же в ASCII, SSH всё таки), но сам стрим я настроил так, чтобы никто не смог понять, кто и где я, даже прямиком трассируя весь его путь. Маленькое правило в dbus и один большой видеофайл перекинется мне по связке (VDS > Tor > VDS > Tor > я), как только китайцы обрежут интернет, заметив утечку данных. В общем-то, они не заставили себя ждать, я успел выдавить по 4 минуты с каждого регистратора фирмы, со всех камер, и 6 с того, через который проводил атаку. Первое, что меня удивило — это тот факт, что все триста камер, о которых было заявлено в данных о закупках, имели место где-то быть, ибо их стримы были на месте. Второе меня уже не удивило, а скорей дало ответы на вопросы: я же видел, какие именно архивы качает Мыш. Он явно был сосредоточен на определённом участке времени. Он прекратил отвечать в Джаббере. Вышел из Джаббера и завершил SSH-сессию на VDS. Правда по, внезапно, таймауту ключа. Дело в том, что я настроил SSH таким образом, что каждые N секунд сервер опрашивает тебя по поводу ключа и соли. Соль с каждым правильным ответом даётся на следующий раз новая. Так что таймаут ключа мог значить лишь одно: Мыш удалил к чёрту файл с ключём или убил демона SSH. Я ждал и ждал его в сети. Мне было плевать на биткоины, я всеръёз забеспокоился о том, что его могли найти копы, или, что хуже, местные китайцы. Паранойя имеет свойство расти экспоненциально в подобных ситуациях.
Я всегда снимал новую квартиру для сложных атак. Эта атака не была исключением. Великолепно покрашенная в тёмных тонах дверь аккуратно отворилась. Из подъезда сразу потянуло прохладой. Моё сердце как будто коллапсировало в волну и обратно. В помещение расслаблено прошла… девушка-переводчица, которая сделала нам дефейс. Кажется, я был готов что есть сил рвануть прямо на неё — расстояние было таково, что она бы не успела увернуться или защититься, однако вслед за ней появился некий взъерошенный сребровласый индивид и неспеша, молча показал мне пистолет в правой руке. Невероятно худой и очень уставший индивид в сильно потрепанном чёрном костюме ласково приобнял девушку-переводчицу, не спуская с меня курок, поцеловал её в затылок, после чего сказал мне: «Видеофайл называется 'Мыш', архив четырёхлетней давности, на твоём VDS в папке, куда тот скачал архивы. Включай и смотри». Я осторожно повернулся снова к монитору, открыл терминал и увидел свежий новый файл EXEC_ME в домашней директории. Я не знал, что там за видео о моём коллеге. Я не знал, что это за парень за моей спиной с пистолетом в руке. Я не знал, как вообще меня нашли. Я не знал, как кто либо кроме тебя может писать в папку с правами ты: ты, особенно если ты — это root. Но кое-что я всё таки знал. Я жив и не повязан.