Хола, ми знову повертаємось з новинами світу кіберкрайму (хактивізму-волонтерства в нашому випадку). Сьогодні мова піде про цілий холдинг, компанії котрі входять до нього, та суміжні контори - все із сектору логістики, машинобудування, та пасажирських перевезень. А саме: холдинг "Rail Garant" котрим керувало 2 довбня: Сергей Гущин та Сергей Смыслов. Під цим холдингом працюють і десятки інших організацій: «Автолайн» (чиї автобуси ми зламали декілька тижнів тому just4fun, і увімкнули запис з озвучкою від hashdestructor), «РэйлСпецТранс», «Гарант Рейл Сервис», «Rail Leasing», «STG-Operator», «ТРГУ», «IPG Garant», «Транстелематика» (розробник ПО та хардвару для громадського транспорту МСК), «ПэйТранс» (також розробник), etc. Декілька з них офіціні партнери РЖД та Мосгортрансує\СПБтрансу. Ми впевнені що це не повний список, і ми щось пропустили (тому осінтерам буде цікаво знайти всі зв'язки). Транстелематику ми атакували 4 рази: 1. В 2022 партизани-хакери з МСК зламали внутрішню мережу Транстелематики та передали нам доступ, але тоді ми мали інші справи й проекти, і закономірно доступ протух. 2. В 2023-2024 році ми зламали їх wiki та сходили на чай в їх сусідню контору "Автолайн". Звідти ми винесли трохи інформації, та закинули на певний час займаючись іншими справами. 3. Близько місяця тому, ми зламали їх систему "ЦУМИ" та увімкнули там сповіщення про бомбардування раісі (що вкраїнчики, що поросіянушки - почали змішувати цей прикол з лайном, придумуючи що це все озвучувало ШІ, що це взагалі шиномонтаж і звук наклали, і що це вже і не в МСК а в... Блєтгороді). 4. Побачивши новину, що в Транстелематиці "В настоящее время специалисты проводят проверку сетевой инфраструктуры и устранения последствий несанкционированного доступа", ми вирішили добити таргет і відкрити на ньому тему громадського транспорту раісі (анонс?). Ми отримали знову доступ до їх мережі, і за тиждень довели справу до кінця. Про що ми зараз й поговоримо. - Було захоплено всі компютери під керуванням Windows (2 розділених домени, 1 керує Автолайном, а інший РейлГарантом та його дочірніми конторами), після чого нахуй анігільовано. (близько 500+ фізичних станцій) - Проламали 2 vSphere (1 сфера - 1 кластер на 4 ESXi, 2 сфера - 2 ESXi), половина віртуалок хостилась в локальній мережі - інша на рег.сру - Видалено більше 100+ терабайт бекапів з десятка серверів, synology nas\qnap, etc. - Ексфільтровано терабайти інформації про логістику, бази їх публічних ресурсів та ОТРС (частину даних традиційно залили в телеграм, посилання буде нижче). - Винесли великий обсяг облікових даних з їх TeamPass, браузерів, та домен контроллерів. Близько доби після атаки ми читали їх робочі переписки в чатах, та перепетії в особистих повідомленнях. Вони там ладні один одного на кіл посадити, аби лиш хтось поніс відповідальність за безалаберність всього IT відділу. Навіть влаштували голодні ігри шукаючи зрадника серед своїх колег (Один з вас знав про те що атака почалась, але мовчав бо ми його заткнули. Якщо знайдете його - ми вам дамо трохи ключів для декріпту в якості винагороди) Власне кажучи, лінк на витік: [ Pastebin -> Telegram ] Password: H0LaCas