Discussione Sono entrato in un ISP iraniano

[Colabrodo]

Probabilmente gli israeliani mi darebbero più di 100 mila euro

si chiama Afranet

~100 dipendenti
~$19Milioni fatturato
E società quotata sulla borsa iraniana

Che faccio gli dico di sistemare la falla?

 

[JunkCoder]

Direi che ormai che lo hai annunciato pubblicamente, segnalarglielo sia la cosa piu' sensata e giusta da fare, in forma anonima o meno.

 

[Colabrodo]

e.mail inviata a nice

 

[0xbro]

Probabilmente gli israeliani mi darebbero più di 100 mila euro

si chiama Afranet

~100 dipendenti
~$19Milioni fatturato
E società quotata sulla borsa iraniana

Che faccio gli dico di sistemare la falla?

Visualizza allegato 52268

Azz, GG!
Sarebbe bello sapere (dopo che ti rispondono e fixano) come hai scopero la falla o comunque come hai trovato la vulnerabilità

 

[Colabrodo]

Azz, GG!
Sarebbe bello sapere (dopo che ti rispondono e fixano) come hai scopero la falla o comunque come hai trovato la vulnerabilità

È una falla molto semplice. Mi sono stupito anche io perché è una falla aperta da circa 8 mesi e nessuno è ancora entrato a fare danni. Nel deepweeb ci sono centinaia di migliaia di falle che per lo più restano aperte. D'altronde ai criminali informatici non interessano queste cose perché il loro lavoro è rubare carte di credito, crytpo e fare estorsioni. I nemici di questi isp di solito sono i governi stranieri che conducono attività di spionaggio.

Messaggio unito automaticamente: 27 Aprile 2021

Stuxnet è stato realizzato con la complicità della nsa. Le centrali nucleari per prassi sono offline. Questo virus è stato distribuito infettando una chiavetta usb a teheran che poi si è propagato nei plc della siemens.

2 settimane fa gli israeliani gli hanno fatto un'altro scherzetto

Here’s how Israel hacked Iran’s nuclear facility

Iran’s Natanz reactor’s new centrifuges were targeted in an Israeli cyberattack.

www.trtworld.com

 

[Colabrodo]

Buongiormo...
Questa mattina mi sono svegliato presto per carpire altre informazioni.Ieri guardando la cronologia ho visto che di solito si collegano alle 8 (ora di teheran). fino a mezzogiorno poi si collegano sporadicamente la notte fino alla 1 (ora di theheran) quel software per il monitoraggio costerà 30.000 euro al mese contando i sensori (20mila) e sulla workstation ho visto un software da pochi euro craccato. Ho guardato a fondo per vedere se sono già stati infettati da altri ma niente sono ancora candidi. Adesso devo pensare a una buona strategia di propagazione

Messaggio unito automaticamente: 28 Aprile 2021

Sono entrato 10 minuti(18:10 italia) fa e sono ancora loggiati. Hanno un add su chrome che aggiorna la pagina web. Questi cattivoni hanno messo chrome a -50% io ieri quando sono entrato ho messo su 100 lo zoom di e poi rimesso a 50% per non dare sospetti.
Ho fatto una foto

 

[Colabrodo]

pubblico tutto con un post su reddit

 

[PyCode]

pubblico tutto con un post su reddit

Ciao! Ieri sera ho trovato il tuo post su reddit, però (non so se hai visto) ti è stato rimosso. Vuoi condividere qua l'esperienza e le tecniche utilizzate? Non sarebbe male
(Ovviamente dopo esserti accertato che la falla sia stata rimossa)

 

[Colabrodo]

Ma hai visto in sysadmin? Si è stato rimosso dopo 5 minuti però ne ho fatto uno in "hacking" ed è rimasto. Certo mi aspettavo più risonanza
Ho appena concluso un altra ora di acquisizione dati e ho pure fatto un video di quello che ho fatto con un software apposito. Molto più comodo e informativo che fare foto/screenshot.

Ora devo cercare un modo per prendere le password del network collegato. Sembrano tutte macchine windows.

 

[Shini°]

Sticazzi, super interessante

 

[Colabrodo]

Ragazzi vi dico solo che è una vulnerabilità semplicissima!

Vedo che alcuni di voi partecipano alle sfide "Hacking Challenges" per cui vi esorto a provare a cercare questo vulnerabilità per entrare in quella workstation.

Più tardi pubblicherò video di 1 oretta del mio desktop quando ero dentro.

Se riuscite a entrare non fate niente e uscite. Conviene operare solo dopo le 18 fino alle 20 e dalle 2.30 del mattino fino alle 5.30.

Messaggio unito automaticamente: 30 Aprile 2021

Aggiornamento 11.31

Sono entrato in una altra workstation sempre con winzozz. Anche questo sembra essere una workstation col compito di fare girare il software di monitoraggio di rete

Messaggio unito automaticamente: 30 Aprile 2021

Aggiornamento 14.33
Ho trovato un server vulnerabile all'heartbleed (2014) https://en.wikipedia.org/wiki/Heartbleed

Messaggio unito automaticamente: 30 Aprile 2021

Attività di ricerca sulla rete finita. Alla fine ho accesso a 2 workstation... devo valutare come procedere

Cyberwarfare and Iran - Wikipedia

en.wikipedia.org

"November 2018: The Iranian telecommunication minister Mohammad-Javad Azari Jahromi accuses Israel of a failed cyberattack on its telecommunications infrastructure, and vows to respond with legal action"

Lol

Messaggio unito automaticamente: 30 Aprile 2021

Eccomi amici

Questa è la seconda workstation

Messaggio unito automaticamente: 1 Maggio 2021

dopo che li ho citati su twitter hanno chiuso le falle sulle 2 workstation asd

 

[Colabrodo]

Buonjour....

staranno lavorando come delle bestie dalle 22 di ieri per trovare l''ultima falla più grave

 

[0xbro]

Buonjour....

staranno lavorando come delle bestie dalle 22 di ieri per trovare l''ultima falla più grave

Alla faccia della "festa del 1 Maggio" ahaha

 

[PyCode]

Ciao!
Si, avevo visto il post nella sezione sysadmin, solo qualche giorno fa l'ho ritrovato in "hacking".
Volevo darti un consiglio per il futuro così da evitare danni: quando scopri un host vulnerabile (specialmente quelli di una certa importanza), dopo esserti introdotto e aver documentato la cosa, prima di condividere tutto quanto, è meglio avvisare chi di dovere e solo dopo esserti assicurato che abbiano fixato la cosa, condividi le info. Questo lo dico perché leggevo che chiedevi di entrare senza fare danni, ma prova a pensarci: qualunque malintenzionato può beatamente ignorare il tuo messaggio e procedere al suo "divertimento"

Per il resto: complimenti

 

[Colabrodo]

Si lo so, comunque non era niente di veramente rischioso. Sono stati sottratti solo i disegni della infrastruttura.
Cmq non ha subito attacchi da parte dell'iran Dicono che sono uno dei gruppi più attivi a livello governativo.

Oggi ho scoperto una falla a livello globale. Potrei prendere possesso di migliaia di server in tutto il mondo. Questa falla non è ancora stata sfruttata da nessuno perchè io e forse in pochi "buoni" ci hanno pensato. Questo non posso divulgarlo altrimenti farebbe grossi danni a livello internazionale.

Messaggio unito automaticamente: 1 Maggio 2021

Colpisce un grosso costruttore di server. Vi elenco i maggiori : supermicro , dell, hp, Fujitsu, lenovo ibm

 

[Utente cancellato 247716]

Si lo so, comunque non era niente di veramente rischioso. Sono stati sottratti solo i disegni della infrastruttura.
Cmq non ha subito attacchi da parte dell'iran Dicono che sono uno dei gruppi più attivi a livello governativo.

Oggi ho scoperto una falla a livello globale. Potrei prendere possesso di migliaia di server in tutto il mondo. Questa falla non è ancora stata sfruttata da nessuno perchè io e forse in pochi "buoni" ci hanno pensato. Questo non posso divulgarlo altrimenti farebbe grossi danni a livello internazionale.

Messaggio unito automaticamente: 1 Maggio 2021

Colpisce un grosso costruttore di server. Vi elenco i maggiori : supermicro , dell, hp, Fujitsu, lenovo ibm

Azz interessante, ti consiglio di non condividere la falla. Btw alla fine ti hanno risposto all'email che hai inviato?
Continuerò a seguire il topic perchè sono veramente interessato a come va a finire

 

[Colabrodo]

Azz interessante, ti consiglio di non condividere la falla. Btw alla fine ti hanno risposto all'email che hai inviato?
Continuerò a seguire il topic perchè sono veramente interessato a come va a finire

No, voglio vedere se fanno qualche comunicato stampa lunedi. D'altronde devono seguire dei protocolli visto che sono una azienda quotata in borsa per cui mi aspetto comunicato e calo del valore delle azioni.

Messaggio unito automaticamente: 1 Maggio 2021

Per quanto riguarda i server adesso sono in cina e sto preparando delle macchina "toste". Anche se riformattano qualche server ne ho sempre a disposizione altre.
Adesso sto preparando un server su hardware
Intel Xeon E-2288G (5ghz)
ram 64 gb 2666 MHz

ci monto su debian

 

[PyCode]

Si lo so, comunque non era niente di veramente rischioso. Sono stati sottratti solo i disegni della infrastruttura.

Assolutamente, il mio discorso però è un altro: tu hai sottratto solo i disegni, qualcun altro invece potrebbe puntare ad altro...

No, voglio vedere se fanno qualche comunicato stampa lunedi. D'altronde devono seguire dei protocolli visto che sono una azienda quotata in borsa per cui mi aspetto comunicato e calo del valore delle azioni.

Come si dice: "tra il dire e il fare c'è di mezzo il mare", perciò dubito facciano comunicati o altro... anche perché ci rimettono la faccia e forse non conviene xD

Come Pivot, continuerò a seguire il topic sono proprio curioso

 

[Colabrodo]

Assolutamente, il mio discorso però è un altro: tu hai sottratto solo i disegni, qualcun altro invece potrebbe puntare ad altro...


Come si dice: "tra il dire e il fare c'è di mezzo il mare", perciò dubito facciano comunicati o altro... anche perché ci rimettono la faccia e forse non conviene xD

Come Pivot, continuerò a seguire il topic sono proprio curioso

Vediamo domani
Dal linkedin di afranet si vedono già alcuni dipendenti che stanno cercando lavoro.


Sono al lavoro da 2 orette. I server che posso compromettere hanno una piccola scheda a parte che si può hackerare. Si può addirittura renderla inutilizzabile quindi i proprietari del server devono rimuovere manualmente e gettare nella spazzatura la scheda una volta compromessa. Dalla scheda si può installare qualsiasi sistema operativo da remoto. Dal server compromesso si possono acquisire i dati se non crittografati.

Messaggio unito automaticamente: 2 Maggio 2021

Adesso sono dentro un altro server ma non riesco a installarci una iso perchè si vede che hanno i dischi rigidi al di fuori dei server e quindi si collegano via lan

Messaggio unito automaticamente: 3 Maggio 2021

Come promesso ecco il video.
Tra qualche ora dovrebbe essere disponibile in risoluzione 4k...
In settimana proverò a sfruttare altre falle di afranet

 

[Colabrodo]

Confermo la presenza di altre 4 gravi vulnerabilità in afranet.

I prossimi target iraniani sono Asia Tech, Shuttle, Pars Online, Respina e Isiran.

Se qualcun'altro vuole unirsi al gioco

 

[Maxwell2609]

Ma sei un fenomeno rarissimo!
Comunque ti consiglio di denunciare sempre le falle in modo anonimo, mal che vada non ti prendi i meriti ma nemmeno la polizia sotto casa

 

[Colabrodo]

entrato in una workstation di shatel.ir non ho capito perchè reuters in uno dei suoi articoli ha chiamato la compagnia shuttle asd

Messaggio unito automaticamente: 4 Maggio 2021

afranet non si è degnata nemmeno di ringraziarmi!

 

[Colabrodo]

Ieri ho segnalato una falla di sicurezza ad ovh canada

 

[Colabrodo]

Il video su youtube ha ricevuto 168 visite. Diversi server cinesi dirottati non sono ancora stati ripristinati. Non riescono più a intervenire sulla scheda che controlla il server. Uno in particolare mi ha colpito perche stanno utilizzando metodi di forza bruta per riprendere possesso di un server. inoltre questo server situato in Cina riceve chiamate da un IP di Montecarlo

 

[Deleted member 246689]

Sei un fenomeno praticamente, ti consiglio di continuare a pubblicare e di rendere il tutto più chiaro. Al 100% avrai successo se fai così.

PS: Attento alle varie leggi, non sono esperto ma accedere abusivamente e vedere le info costituisce comunque reato (se non erro). Quindi se fai in maniera anonima tanto meglio! ;D