القرصان الإيراني يضرب مرّة أخرى

في مجتمع الحماية العربي قمنا بتغطية الهجمات التي تعرض لها مُصدرا شهادات SSL كمودو و ديجناتور. شهادات كمودو أعلن عنها قرصان إيراني شكك بعض الخبراء الأمنيين بكونه المنفذ ليتبيّن في ما بعد أنّه بالفعل هو من نفذ الهجوم. واليوم أعلن هذا القرصان في رسالة نشرها على موقع بيست بين دوت كوم عن قيامه بالهجوم على ديجناتور، حيث ذكر ان هجومه يأتي في الذكرى السادسة عشرة لمجزرة سربينيتسيا والتي حدثت في 11 يوليو (آذار) وراح ضحيتها 8000 آلاف مسلم. وحسب القرصان فإن هجومه يأتي كرد على الحكومة الهولندية والتي ضحت بالضحايا في مقابل سلامة 30 من جنودها.

الهجوم وفق القرصان كان هجوماً معقداً. لم يقم بكشف تفاصيله ولكن ذكر بأنّه سيقوم بذلك في وقت لاحق. ولكن اثباتاً على اختراقه فقد ذكر معلومات أحد الخوادم الداخلية لديجناتور

Username: PRODUCTION\Administrator Domain Administrtor of certifiate network
Password: [email protected]

الهجوم على ديجناتور يأتي في وقت تتصاعد في الانتقادات لنظام الشهادات الحالي. في حالة كومودو لا زالت الشركة تعمل بدون مشاكل ولكن في حالة ديجناتور في الأغلب سوف تخرج الشركة من سوق العمل نظراً لفداحة الهجوم الذي تعرضت له.

في ما يلي النّص الكامل لرسالة القرصان مترجماً

مرحبا مرة أخرى , الهجوم عاد ثانيةً, هه؟
قلت لكم أستطيع أن أعيد كل ما حدث مرة أخرى. قلت في المقابلات أنني ما زلت أمتلك الوصول إلى موزعين شركة كومودوComodo.
قلت للجميع أمتلك الوصول إلى أغلب شهادات الموثوقية Certificate Authority(CA) , هل رأيتم هذه الكلمات الآن؟

أتعلمون, أنا أملك الوصول إلى أكثر من أربع شهادات موثوقية عالية و التي أستطيع أن أنشئ منها شهادات جديدة أيضًا و سوف أفعل.
أنا لاأستطيع ذكر أسمائها, كما أني أمتلك الوصول إلى شهادات الموثوقية الخاصة بـStartCom. لقد اخترقت خوادمهم أيضا بطريقة معقدة جدا, ولقد كان
محظوظا بكونه كان متواجد مقابل توقيع HSM. سأذكر اسم أخر فقط و الذي ما زلت أملك وصول إليه ألا و هو GlobalSign,
دعني أستخدم شهادات الموثوقية الخاصة بهم و سأتكلم عنهم لاحقا أيضا.
لن أتكلم عن تفاصيل كثيرة, فقط أريد الآن أن يعلم العالم أنه أي شئ تفعله له عواقب و أي شئ تفعله بلدكم في الماضي يجب أن تدفع ثمنه.

لقد كنت متأكداً أني لو استخدمت شهادات شركة ما لنفسي ستقوم هذه الشركة بإغلاق هذه الشهادات و لن أستطيع أن أنشئ شهادات مرة أخرى, شركة كومودو كانت بالفعل محظوظة جدا.

لقد فكرت أنه لو أنشأت شهادات موثوقية من الحكومة الهولندية سيخسرون الكثير من المال.
http://www.nasdaq.com/aspx/dynamic_charting.aspx?selected=VDSI&timeframe=6m&charttype=line

لكن تذكرت شيئا و اخترقت شركة DigNotar بدون التفكر في تلك الغلطة.
http://www.tepav.org.tr/en/kose-yazisi-tepav/s/2551

عندما قامت الحكومة الهولندية بمقايضة 8000 ملسم بـ30 جندي هولندي و الجنود الصربيين الحيوانات قتلوا 8000 مسلم في نفس اليوم, الحكومة الهولندية
يجب أن تدفع نتيجة ما حدث, ولم يتغير شئ فقط بعد مرور 16 عام.
الـ 13 مليون دولار خاصة الحكومة الهولندية و التي تم دفعها لشركة DigNotar يجب أن تذهب إلى القمامة.
إنه من الكافي جدًا للحكومة الهولندية أن تفهم أنّ جندي مسلم واحد أفضل من 10000 جندي هولندي.

سأتكلم في بعض التفاصيل التقنية الخاصة بالاختراق لاحقا, فأنا لا أمتلك وقت الأن.
كيف استطعتُ الوصول إلى 6 طبقات في الشبكة الداخلية الخاصة بشركة DigNotar, كيف وجدت كلمات المرور, كيف وصلت إلى صلاحيات النظام لأنظمة مكتملة التحديثات يوما بيوم
كيف تخطيت نظام nCipher NetHSM, و عتاد توليد المفاتيح, مدير شهادات الـ RSA, كيف اخترقت الطبقة السادسة للشبكة الداخلية و التي ليس
لها وصول إلى الإنترنت إلا بالمنفذ 80,443 و التي لا تقبل الاتصال العكسي أو المباشر لإتصالات الـ VNC و المزيد و المزيد و المزيد.

عندما أشرح كل هذا, ستعرف إلى أي مدى هذا لاختراق كان معقدا, سيكون دورة اختراق جيدة للهاكرز مثل فريق Anonymous و Lulzsec.
لقد كان هنا الكثير من ثغرات اليوم صفر والطرق و المهارات.

هل سمعت عن لغة البرمجة XUDA و التي يستخدما مدير شهادات RSA؟ لا لم تسمع. لقد عرفت مدير شهادات RSA و تعلمت لغة برمجته في نفس الليلة.
إنها لغة غير عادية إن علامة أكبر من في كل اللغات هي ”

على أي حال,, سأتكلم عن شركة DigNotar لاحقا! أما الأن أكمل التفكر فيما فعلته الحكومة الهولندية منذ 16 عام مضت في نفس اليوم الذي اخترقت أنا فيه.
سأتكلم لاحقا و سأوضح لكم أكثر الاختراقات تعقيدا لهذا العام و الذي سيكون منها المزيد و التي سأتكلم عنها أيضا.

المقابلة ستكون عن طريق البريد الإلكتروني [email protected]
بمناسبة الحديث, إسأل شركة DigNotar عن هذا المستخدم و كلمة المرور جميعا
Username: PRODUCTION\Administrator Domain Administrtor of certifiate network
Password: [email protected]

الأمر لا يتعلق كله بكسر كلمة المرور
1. لن تستطيع الاتصال RDP في شبكة مغلقة و محمية بجدران نارية و التي لا تسمح باتصال عكسي عن طريق VNC , RDP إلخ بسبب مراقبة الحزم.
2. لن تستطيع حتى أن تأخذ نسخة من الـهاش لكلمات المرور إذا لم تكن مدير على النظام.
3. لن تستطيع الوصول إلى الطبقة السادسة من الشبكة و التي لا تحتوي على أي اتصال من و إلى الإنترنت.

نعم

إلى اللقاء الأن

الرسالة الأصليّة
http://pastebin.com/1AxH30em

نبذة عن الكاتب

المهندس صبري صالح. مهندس حماية شبكات و أنظمة و فحصها معالجة و تحليل الأحداث الأمنية و المسؤول عن تطبيق معايير الـ ISO 27001 , يعمل في بيئات متعددة المنصات. حاصل على عدة شهادات تقنية.

التعليقات:

أضف تعليقاً | عدد التعليقات: (10)

  1. GNOM قال:

    شكراً لك

    فعلاً انه قرصان محترف بحق

    صبري أنتظر تعليقك على الاختراق وإلى أي مستوى تصنف هذا القرصان

    ما قام به يرتقي على مستوى فرق بلاك هات وديفكون

    شكراً مرة اخرى

  2. Black Hand قال:

    >> حسيته مسوي فلم رعب بمعنى الكلمة لهذي الشركات ..

  3. ProViDoR قال:

    سبحان الله الايرانيين حاليا عندهم ما ليس لدى غيرهم
    طريقة التفكير التكنيك حتى تصدير الاختراق واسبابه
    شكرا يا عم صبرى التدوينه

  4. اسامه عقاد قال:

    شكرا أخ صبري وللموقع الذي يبدو أنه متابع لآخر الأخبار الأمنية

    لا أظن المهاجم فعلا فعل فعلته بدافع اسلامي ضد هولندا وإلا لماذا استهدف الهجوم الناشطين الإيرانيين؟

    هذا التقرير من شركة FOXIT
    http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/rapporten/2011/09/05/diginotar-public-report-version-1/rapport-fox-it-operation-black-tulip-v1-0.pdf

    وهذا موضوع في المجتمع
    http://www.linuxac.org/forum/showthread.php?53985

  5. root قال:

    اذا كان بدافع الاسلام
    يجب ان يقوم باختراق جميع المواقع الايرانيه
    ويشاهد ماذا حصل الاحواز والعراق والان بسوريا

  6. لديه ثقة بالنفس غير طبيعية أحييه عليها , وهي مايلزم أي شخص متخصص في أي مجال وأكيد أن الثقة لا تأتي من الفراغ بل من العمل والقراءة .

  7. HTML قال:

    اقتباس ” هل سمعت عن لغة البرمجة XUDA و التي يستخدما مدير شهادات RSA؟ لا لم تسمع. لقد عرفت مدير شهادات RSA و تعلمت لغة برمجته في نفس الليلة. ” شخص مستواه يصنف بدرجة عبقري بلا مبالغة …رسالته واضحة

  8. DARK KNIGHT قال:

    بسم الله الرحمن الرحيم
    والصلاة والسلام على اشرف الأنبياء والمرسلين واله الطيبين الطاهرين
    الحقيقة يجب على العالم الأسلامي أن يفتخر بوجود مثل هذا الشخص
    وأسأل الله العلي القدير أن يزيد في حضه وعلمه لخدمة الأسلام.
    هذا الشخص دافعه اسلامي تماماً مو مثل بعض الجماعات انجكتور وبعض حثالة العرب
    يستهدفون مواقع عربية بغض النضر عن انتمائها والله عيب عليهم بس شتسوي
    أمرنا الى الله

  9. هذا الشخص متمكن بحق، عبقري، وقبل كل ذلك عنده مبدأ…
    شكراً لك مهندس صبري.

أكتب تعليق