Mes parents et moi habitions dans une vieille maison. Mes parents ont décidé de déménager l’année dernière pour une ville plus tranquille. Ils avaient toujours rêvé d’emménager à la campagne, et c’était l’occasion pour eux de se sentir libre à nouveau. Les premiers jours étaient assez difficiles pour moi, mais après une semaine ou deux, je me sentais vraiment bien dans cette nouvelle maison.

    Evidemment, j'espérais avoir une connexion internet pour pouvoir me connecter à ‪#‎ChainSawMassacre,‬ un canal IRC que j’avais créé avec d’autres personnes. Les pseudos de ces personnes étaient MazaKar2, WaNNaK1ll et Unplug4HardC0re, ainsi que Z3r0, moi.

    Sur #ChainSawMassacre, On discutait de tout et de rien. On était tous des étudiants qui cherchaient des moyens faciles d’avoir un peu d’argent. Moi et Unplug4HardC0re étions Membres d’un groupe de Hacktiviste assez connue sur le deep web : T4k3d0wn, dont j’étais le leader. On essayait d’intégrer Mazakar2 et WaNNaK1ll qui était bon en programmation. MazaKar2 avait trouvé un site web qu’on pourrait pirater, on agissait uniquement sur le Deep Web. Certaines de nos attaques étaient très connues sur ce dernier. RantAH4ck3r, un site web parlant des actualités concernant le hacking, parlait souvent de nos attaques informatiques. Nos cibles préférées étaient les sites pédophiles.

    MazaKar2 avait trouvé un bon plan pour une prochaine attaque. Voici un copié/collé des logs de mon Bouncer IRC. J’ai évidemment censuré les sites du deepweb.

MazaKar2 joined #ChainSawMassacre

MazaKar2 : Yo les mecs !

WaNNaK1ll : Salut Maza ! Bien ?

Z3r0 : Yo ! :)

MazaKar2 : Ouai ! J’ai trouvé un truc sympa sur le deep web :)

Z3r0 : Qu’est-ce que tu as trouvé encore ? xD. Petite info SweetChild est down :)

WaNNaK1ll : Nice ! DDoS ou Zero day Exploit ^^ ?

Z3r0 : Zeroday :). Il avait une version de proFTP en 2.0.3, c’était easy avec le module metasploit que tu as écrit :D

WaNNaK1ll : Cool.

Unplug4HardC0re : Sinon tu as trouvé quoi Maz’ ?

MazaKar2 : ça : https://<censored>.onion

Z3r0 : Tu veux louer un botnet. t’es sérieux toi ? Oo

MazaKar2 : lance nmap sur l’adresse ip : XXX.XXX.XXX.XXX ^^

Unplug4HardC0re : Whoa, tellement de logiciel pas à jour

Z3r0 : Hum, leurs serveurs : FTP, Web, Base de Donnée. T’es sur c’est pas un Honeypot ^^ ?

WaNNaK1ll : Un quoi ? xD

Z3r0 : Un honeypot, en gros c’est un serveur fait pour capturer les hackers ^^

MazaKar2 : Je pense pas :p , regarde : https://<censored>.onion

Z3r0 : RedEye ? C’est le nom de la backdoor

MazaKar2 : Yep :p, j’ai décompilé le binaire. J’ai écrit un script pour exploité une faille qu’il y avait dedans. Buffer Overflow lol

Z3r0 : Mdr, colle le lien :p

WaNNaK1ll : Ghostbin ^^ ?

MazaKar2 : https://ghostbin.com/paste/8 wuat74q

Z3r0 : Le mot de passe ?

MazaKar2 : Mon pseudo ^^ MaraKar2

Unplug4HardC0re : ça m’a l’air pas mal ton truc

Z3r0 : Je vais voir si c’est vraiment safe de pirater ce site ^^

    On était donc prêt à pirater un site web détenu par un hacker. C’était sûrement un script kiddie qui était derrière ce serveur, il y avait tellement de faille sur le serveur. J’ai travaillé toute une semaine sur un module metasploit pour faciliter l’attaque pour les autres membres de T4k3d0wn. Après une longue semaine d’acharnement, il était temps de s’attaquer à ce serveur. Durant l’attaque, J’ai trouvé plusieurs fichiers étranges sur le serveur, mais un fichier .DAT attira ma curiosité. Il s’appelait « ZeroDay-Exploit.dat ».

    J’étais curieux de savoir ce que contenait ce fichier. C’était une url menant à un Hidden Service (un site hébergé sur le deep web). J’ai pris toute les précautions pour être intraçable : Connexion sur le réseau Wi-fi de mes voisins, VPN, proxychain et Tails. J’ai attendu plusieurs minutes le chargement d’une page web, voir même plusieurs heures. Après deux bonnes heures à poireauter, je pensais qu’il serait peut-être intéressant de scanner l’adresse pour voir les ports ouverts. Le port ssh était ouvert. Après de longue heure à brute forcer le serveur, j’étais enfin connecté au serveur.

Login as : redeye
Password : redeye@CannibalTheater$

    Comme tout bon Hacker, mon but était maintenant de pouvoir contrôler la machine. Je commençais alors à rechercher comment je pourrais élever mes privilèges afin de devenir root. J’ai alors découvert l’existence d’un fichier étrange.

    redeye@CannibalTheater$ # find / -user root -perm -4000 -r-sr-sr-x 1 root bin 33208 Aug 10 15:55 /usr/bin/V3nom_spy
 

    J’ai lancé le programme V3nom_spy. Ça ressemblait à un chat, ça me semblait inutile jusqu’à l’apparition d’un message.

>> https://<censored>.onion Amuse toi.

    Encore une url, étrange. Je décidais de me rendre à cette adresse, j’avais peut-être gagné le gros lot. Effectivement, j’avais gagné le gros lot, mais pas celui que j’imaginais. Il y avait des centaines de fichier excel. Ils contenaient des noms et des adresses avec une description. C’était de la vente d’humains ! Filles, enfant ou même des hommes ! Il y avait des liens menant vers des photos de ces personne. Je fut pétrifié en regardant des centaines de ces photos. Certaines personnes étaient mutilées et vendu pour des prix misérable. Je ne voulais pas voir une photo de plus.je décidais d’arrêter toute activité. Deux jours plus tard, je décidais de prévenir mes amis de mon retrait du projet T4k3d0wn.

    Depuis cette découverte, je retrouve souvent une photo de moi prise à partir de ma webcam brûlant sur le bord de ma fenêtre. Je n’arrive plus à dormir. Évitez d’accéder au deep web. Certaines informations sont cachées. Laissez-les où elles sont.