Подводим итоги первого дня хакерского квеста

Если вы ещё не слышали, пару дней назад одна эксцентричная дамочка запустила трансляцию с висящим роялем. Этот рояль через несколько дней погубит ноутбук с классной NFT-гифкой, за которою через пару лет можно будет выручить кругленькую сумму. И эта нервная женщина перерезала два троса из пяти, на которых держится рояль!

За первые сутки произошло всякое интересное, спасители котика перебрали кучу вариантов, за что бы им зацепиться. Под катом мы собрали всё самое интересное, что успело произойти с запуска трансляции.

▍Котоспасы по нику одного из хакеров нашли его пост с просьбой помочь справиться с ошибкой TrueCrypt и дамп памяти компьютера этого хакера. Вытащили из дампа ключ, с помощью которого они расшифровали контейнер с софтом: Volatility Foundation Volatility Framework 2.6 Container: ??\C:\Users\m0x143y\Documents\encrypted.tc Hidden Volume: No Removable: No Read Only: No Disk Length: 66846720 (bytes) Host Length: 67108864 (bytes) Encryption Algorithm: AES Mode: XTS Master Key 0xfffffa801b57f1a8 84 2c 3d a3 24 7d 9a 37 d6 53 7e ac 1f 3c 2c 7f .,=.$}.7.S~..<,. 0xfffffa801b57f1b8 de 61 85 de 81 a9 84 2a 4d 3c d9 57 df 81 c7 29 .a.....M<.W...) 0xfffffa801b57f1c8 8f 56 fc e1 80 4e cf 2a ce 44 5b 9f a6 10 6f 98 .V...N..D[...o. 0xfffffa801b57f1d8 15 e2 50 1f 49 38 f0 a9 62 a7 96 4a db d3 53 9f ..P.I8..b..J..S. Dumped 64 bytes to .\0xfffffa801b57f1a8_master.key

▍Были найдены адреса github-пользователей, и github-генератор мнемонических фраз для четырёх Monero-кошельков (возможно), пустых, а также один Ethereum-кошелек. Нашли и историю транзакций через некие Ethereum-кошельки, но крипта гонялась два года назад.

▍ Из кода Arduino вытащили ноты мелодии и попробовали отправить её на проигрывание, но ничего не произошло. ["E", "D", "C#", "C", "E", "E", "E", "E", "E", "D#", "E", "E", "D", "C#", "C", "E", "E", "B", "E", "E", "A#", "E", "E", "A", "E", "G#", "E", "G", "E", "F#", "E", "E", "F", "B", "E", "F", "C", "E", "F", "C#", "E", "F", "C", "E", "F", "B", "B", "E", "F", "B", "E", "F", "C", "E", "F", "C#", "E", "F", "C", "E", "F", "B", "E", "F", "B", "E", "F", "C", "E", "F", "G", "F#", "E", "G", "F#", "E", "G", "F#", "G", "F#", "E", "G", "F#", "E", "G", "F#", "E", "D#", "A", "E", "D#", "A", "E", "D#", "A", "E", "D#", "A", "E", "D#", "A", "E", "E", "E", "E", "E", "E", "E", "E", "G", "A", "A#", "A", "G", "A"]Сначала решили, что это из Doom, а потом кто-то нашёл в коде упоминание metalica-master of puppets.mp3. Народ даже попробовал прогнать мелодию через логический анализатор в поисках двоичной последовательности. Не нашли.

▍ Ещё общественность пришла к выводу, что на ноутбуке есть следы хакерской активности и связь с неким проектом SOKOL.

▍ Выяснили, что к Arduino подключена флешка на 59 Гб:

▍ Нашли на Arduinoв usb.pcap зашифрованный файл secret.7z. Из него вытащили вот это: ssss-09-be6c314465393225739da1e65200657df7d4a15e66e606c9619ef51a88d5b4015353ac2f089f3dfcd3f86757e89

Решили, что сам файл битый: «Судя по 7z данные на 158 байт, а сжато на 160». Пришли к выводу, что на ноутбуке лежат приватный и публичный ключ от разных SSH.

▍ Участники обнаружили вот такую ссылку на первую главу киберпанковской повести: https://textbin.net/hzbmlkhzjg

▍ Услышав по трансляции какой-то шум, попытались проанализировать даже его:

Наверное, это Оксана — будущая убийца котиков роялями — мстительно хихикала за камерами после того, как сегодня перерезала первый из тросов, удерживающих рояль над ноутбуком…

Напоследок, немного статистики: В канале Discord, посвящённом операции по спасению, сейчас в сети находится около 100 человек, а всего на канале зарегистрировано больше 2900 участников. За первые сутки сайт посетили больше 3600 человек, а на рояле сыграли 2387 раз. Трансляцию посмотрели больше 1000 раз, до 70 человек одновременно. На этом статистика первых суток закончилась, будем держать вас в курсе событий.