<p><img src='https://t1.daumcdn.net/cfile/cafe/2436724559291BBC18' class="txc-image" /></p><p class="cafe-editor-text">루메리코 알림 (2016.10.25 PDT)<br /><br />#reddit<br /><br />루메리코 사 홈페이지 새 소식에 새로운 글이 업데이트됐다. 읽어보면 알겠지만, 루메리코 사 사장 기예르모 포르테로의 부패에 대한 로스 무에르토스의 선전 포고문이다. 매끄럽지 못한 번역이나 오역을 수정 바람.<br /><br />¡QUE VIVA EL REY!<br />El Rey Guillermo Portero de LumériCo los invita cordialmente, sus leales súbditos, a participar en su coronación y celebrar su ilimitada codicia y la traición a la gente de México. Hemos coordinado la publicación de información que demuestra que Portero es una víbora, que hace ya mucho tiempo ha saqueado las riquezas de nuestro país para su propio bien. Ha corrompido a nuestro gobierno, convertido a nuestros hermanas y hermanos en mendigos, y no se detendrá hasta tener al país entero bajo su dominio. Pero nosotros, Los Muertos, no soportaremos la celebración de su reino de corrupción. ¡Le demostraremos a nuestros nuevos conquistadores quien tomará el futuro de nuestro país! El primero de noviembre, derrumbaremos al Rey Víbora y celebraremos la recuperación de nuestro hogar.<br /><br />LONG LIVE THE KING! <br />King Guillermo Portero from Lumérico cordially invites you, his loyal subjects, to participate in his coronation and to celebrate his unlimited greediness and betrayal of the people of México. We have coordinated the publication of information that proves that Portero is a snake that has been, for a very long time, ransacking the riches of our country for his own benefit. He has corrupted our government, turned our brothers and sisters into beggars, and he won’t stop until he has the whole country under his rule. But we, Los Muertos, won’t support the celebration of his realm of corruption. We will prove to our new conquerors who’s going to take the future of our country! The first of November, we will dethrone King Snake and celebrate the taking back of our home.<br /><br />국왕 폐하 만세!<br />루메리코의 국왕인 기예르모 포르테로께서, 충직한 하인인 여러분을 초대하니, 대관식에 참석해서 그의 끝없는 탐욕과 멕시코인에 대한 배신을 기념합시다! 우리는 포르테로가 자신만의 이익을 위해 우리나라의 부자들을 오랫동안 약탈해온 뱀같은 인간임을 보여주는 정보를 모두 취합했습니다. 그는 정부를 더럽히고 형제자매들을 거지로 만들었습니다. 그리고 온 나라를 손에 넣기 전까지 멈추지 않을 것입니다. 하지만, 우리 로스 무에르토스는 이 부패한 왕국의 축제를 지원하지 않을 것입니다. 우리는 멕시코의 미래를 책임질 새 지도자에게 증명할 것입니다! 11월 첫날, 우리는 독사같은 이 왕을 폐위시키고, 고향의 수복을 기념할 것입니다.<br /><br /><br /><br />EXECUTEATTACK (2016. 10. 25 PDT)<br /><br /> reddit 출처<br /><br />Allow: Tzolk'in<br />Allow: Imix ChikchanManik Imix ChikchanImixChikchanImix Manik Chikchan Imix Kimi Chikchan Chikchan Kimi ChikchanImixChikchanImix ChikchanKimi<br /><br /><br />10월 25일 EST 7시 경 누군가 <a href="lumerico.mx/omnics.txt">lumerico.mx/omnics.txt</a> 페이지를 찾아냈고, 둘째 줄의 각 단어들이 마야 달력에 적혀 있는 날짜와 일치한다는 것을 알아냈다.<br /><br />1 57 1 51 51 7 5 1 6 5 5 6 51 51 56를 마야 숫자로 변환하고 1을 . / 5를 - / 6을 .- / 7을 ..- 등으로 변환한 모스 부호로 변환하여 'EXECUTEATTACK'이라는 문자열을 얻게 되었고, <a href="lumerico.mx/EXECUTEATTACK">lumerico.mx/EXECUTEATTACK</a> 로 접속하여 솜브라의 새 메세지를 확인할 수 있게 되었다. <br /><br />Ha llegado el momento. Esos correos expuestos la verdad sobre Portero, iniciado la revuelta, y hemos convencido a la gente de México a apoyar nuestra causa. Ahora es el momento para el golpe. Convertiremos su preciada inauguración el 1 de noviembre en un gran movimiento en su contra. Necesito que hagan una cosa:<br />Consigan acceso al correo del jefa de seguridad y busquen alguna forma de ayudarme en el ataque. Es posible que lo vean contactando a Portero pronto. He cambiado su contraseña a: d0r*NuLw9<br /><br />The moment has come. The emails have exposed the truth about Portero. The upraising has started and the people of Mexico is with us. It is the moment to Strike. We will take over his 11/1 event and we will strike him. I need you to do one thing.<br />Get access to the Security Chief Email and search for a way to help me with the attack. He might contact Portero soon. I have changed his password to: d0r*NuLw9<br /><br />때가 됐어. 이메일(위에 비꼬는 듯한 이메일)이 포르테로의 진실을 폭로했어. 봉기가 시작됐고 멕시코의 사람들은 우리의 편이야. 이제 공격의 때가 왔어. 우리는 11월 1일을 기해 그를 무너뜨릴 거야. 네가 한가지 도움을 줬으면 하는데.<br />보안 담당자의 이메일에 접속해서 내 공격을 보조할 방법을 찾아줘. 그가 곧 포르테로와 접촉할 거야. 그의 비밀번호를 d0r*NuLw9로 변경했어.<br /><br /><br /><br />GPortero의 기존 이메일 계정에 세 개의 새로운 이메일이 추가되었다. 각각 보안 총책임자 마리아 히메네스(María Jiménez), 비슈카르 사(시메트라가 속한 기업)와의 계약 논의, Manuel Oliveira라는 회원과 주고 받은 메일이며 솜브라가 언급한 Security Chief는 마리아 히메네스이다.<br /><br />마리아 히메네스의 이메일 계정은 mjimenez@<a href="lumerico.mx으로">lumerico.mx으로</a> GPortero의 메일에서 확인할 수 있으며, 여기서 그간 우리가 이용했던 아이디들(가령 Guillermo Portero의 계정은 G+Portero = GPortero)을 생각하면 마리아 히메네스의 로그인 아이디 역시 MJimenez임을 유추할 수 있다. 따라서 루메리코 홈페이지에서 아이디 MJimenez / 비밀번호 d0r*NuLw9 으로 보안총책임자 마리아 히메네스의 계정에 접근할 수 있다.<br /><br />다만 이 히메네스의 메일함에는 솜브라의 메시지인 "보안 총책임자의 계정에 접속해서 나와 함께 할 방법을 찾아줘."와 관련이 깊은 내용은 확인되지 않고 있다. 주로 자잘한 경호 업무, 일반 보안과 관련하여 주고 받은 자잘한 답장식 메일이 전부이다. 특이한 점이 있다면 이 계정은 기존 계정들과 다르게 Admin, 즉 관리자 기능 홈페이지가 존재한다는 것이다.<br /><br /></p><p><img src='https://t1.daumcdn.net/cfile/cafe/2505813E59291BEF0E' class="txc-image" /></p><p class="cafe-editor-text">해당 관리자 페이지의 용도에 대해 아직 상세히 밝혀지지는 않았지만 Reddit에 의하면 해당 페이지에 명령실행창이 삽입되어 있어 정확한 명령어를 입력하지 않는 한 "Terminal is Offline"이라는 메시지가 뜨게 되어 있다고 한다.<br /><br /><br /><br /><br /><br />또 다른 이메일<br /><br /><br /><br />사장인 기예르모 포르테로의 계정에 또 다른 이메일이 도착했다.<br /><br />Boss,<br /><br />You're right - it seems we've been having a series of unauthorized news section of the website hits. <br />I tried to get rid of the publication but something is preventing the proper operation of our content management system. I'll keep you posted as soon as possible.<br /><br />사장님께<br /><br />그러네요. 그 동안 우리 웹페이지에 허가되지 않은 뉴스 섹션 수정이 있었던 것 같습니다.<br />문제의 소식을 없애려고 노력해봤지만 무언가가 우리 컨텐츠 관리 시스템이 제대로 작동하는 걸 막고 있습니다. 새로운 사실이 확인되면 최대한 빨리 알려드리겠습니다.<br /><br /><br />위의 루메리코 알림에 나온 뉴스를 보고 사장이 곤살로 플로레스에게 당장 처리하라고 보낸 메일에 대한 답변인 것으로 보인다.<br /><br />한편 곤살로 플로레스에게도 다른 메일이 도착했는데,<br /><br />Hello Gonzo.<br /><br />It seems that there have been some unexpected power peaks during testing alarms, just wanted to keep up.<br /><br />Thank you,<br /><br />Gabriela Moyano<br /><br />Chief Technology Officer<br /><br />안녕 곤조,<br /><br />알람을 테스트 하는 도중에 예상치 못한 파워 피크(전력이 치솟는 현상)가 발생했던 것 같아. 그냥 참고해줬으면 해서 보낸다.<br /><br /><br />무려 CTO가 보낸 메일이다! (이리저리 까이는 개발자) 솜브라의 해킹과 관련 있어 보이지만 더 이상의 단서는 나오지 않았다.<br /><br /><br /><br />이메일 추가 (11. 04)<br /><br />Avísame cuando esté arreglado, por favor. No es momento de preocuparse por el grafiti.<br /><br />María Jiménez<br /><br />Jefa de seguridad<br /><br />De: Martin Cordoso<br /><br />Para: María Jiménez<br /><br />Asunto: ¿Viste la sede?<br /><br />Ayer alguien atacó la sede de la compañía bastante duro. Hay cráneos de Muertos por todos lados y muchedumbres de mirones agolpándose. En el paquete adjunto encontrarás imágenes y los probables puntos de acceso. Estamos cambiando las credenciales de todos lo más rápido posible.<br /><br />Martin Cordoso<br /><br />Analista de seguridad técnica<br /><br />Tell me when it is fixed, please. This isn't the moment to worry about the grafiti.<br /><br />María Jiménez<br /><br />Security chief<br /><br />From: Martin Cordoso<br /><br />To: María Jiménez<br /><br />Subject: Did you see the headquarters?<br /><br />Someone attacked the headquarters really badly yesterday. There are Muertos' skulls everywhere and crowds of onlookers gathering. In the document attached you will find images and probably the points of access as well. We are changing the ID of everyone as fast as possible.<br /><br />Martin Cordoso<br /><br />Analyst of technical security<br /><br />고쳐지면 부디 말해줘. 그래피티 걱정을 할 때가 아니야.<br /><br />María Jiménez<br /><br />보안 책임자<br /><br />보내는 사람: 마틴 코도소<br /><br />받는 사람: 마리아 히메네스<br /><br />제목: 본부 봤어?<br /><br />어제 누군가가 본부를 심하게 공격했어. 온통 무에르토스조직원들 시체투성이고 구경꾼들이 몰려들고 있어. 첨부한 문서에서 사진을, 아마 접근 지점도 볼 수 있어. 모두의 아이디를 최대한 빠르게 바꿀 거야.<br /><br />마틴 코도소(Martin Cordoso)<br /><br />기술 보안 분석가<br /><br /><br /><br />루메리코 정전 (2016.10.27 PDT)<br /><br />루메리코가 정전되었다는 소식이 Lumerico 뉴스에 떴다. 또한 히메네스의 이메일 계정에는 정전 소식을 언론에 발설한 것에 대한 질책성 이메일이 추가되었다.<br /><br /><br /><br />폭로 그리고 Lumerico admin 해킹 (2016.11.1 PDT 12PM)</p><p><img src='https://t1.daumcdn.net/cfile/cafe/23515A4059291BF038' class="txc-image" /></p><p class="cafe-editor-text">2016년 11월 1일 오버워치 홈페이지에서 솜브라가 폭로를 했다.<br /><br />히메네스 계정으로 새로운 이메일이 왔다. reddit의 관련 포스팅<br /><br />S!eño#rita <Jiménez, parece q)ue alg¿uien está mani?pul+ando nuestra corres@po%ndencia in/ter/na. Tal vez ha visto al*gun:os cor"reos e`lec$trónicos con car~acter}es aparen&te?men?te al<eator!ios a lo argo de un te#xto de me|n|saje nor¡mal. In@icia^lmen+te pens¿ábamos qu%e esto era de(bido a al¡gú:n tip*o de corr¡upción de da:tos, pero mi equi&po enco`ntró evi;den~cia de> que e|stas alterac¿iones fu-eron hec¡has de for=ma deli$berad~a por alg,uien fue~ra de <a href="n.uest&#161;ra">n.uest¡ra</a> red. ¿Qué qui#ere que ha&gamos?<br /><br />Val? Val!<br /><br /><br />여전히 스페인어 문장이긴 하지만, 메시지에 여러 쓰레기 문자가 들어있다. 아래는 쓰레기 문자를 제외한 이메일 내용, 그리고 쓰레기 문자만 모은 내용이다.<br /><br />Señorita Jiménez, parece que alguien está manipulando nuestra correspondencia interna. Tal vez ha visto algunos correos electrónicos con caracteres aparentemente aleatorios a lo argo de un texto de mensaje normal. Inicialmente pensábamos que esto era debido a algún tipo de corrupción de datos, pero mi equipo encontró evidencia de que estas alteraciones fueron hechas de forma deliberada por alguien fuera de nuestra red. ¿Qué quiere que hagamos?<br /><br />Val Val<br /><br />!#<)¿?+@%//*:"`$~}&??<!#||¡@^+¿%(¡:*¡:&`;~>|¿-¡=$~,~.¡#&<br /><br /><br />쓰레기 문자에 메시지가 들어있는 것 같은데, 아직 해석하는 중.<br /><br />히메네스의 admin 페이지에는 예전과 달리, 솜브라 로고와 숫자가 들어가 있다. <br /><br /></p><p><img src='https://t1.daumcdn.net/cfile/cafe/2618D24059291C2A06' class="txc-image" /></p><p class="cafe-editor-text">Console Override<br /><br />Console에서 help를 치면 override 명령어를 발견할 수 있고, override를 입력하면 차례로 "Favorite Movie(좋아하는 영화)", "Favorite Cookie Flavor(좋아하는 과자)", "Secret (비밀번호)"를 넣으라고 한다. "좋아하는 영화"에는 헐리우드 맵의 "some like it bot", "좋아하는 과자"는 Jimenez 메일에서 찾아볼 수 있는 "nuevas sabor delicias", "비밀번호"의 답은 console에 "about | grep ter" 명령어를 입력하면 나오는 결과인 "OpenAnything1.1.0"이다. 입력을 마치면, "OK"라는 문자열이 나오고 새로운 Linux스러운 명령어들(ls, cat, exec)이 해금된다. ls 결과는 아래 3개의 file path.<br /><br />mnt/<br />mnt/payload<br />mnt/d_ilqh_<a href="nhb.html">nhb.html</a><br /><br /><br />mnt/payload를 실행시키려면 activation code가 필요한 것으로 보이며, mnt/d_ilqh_<a href="nhb.html">nhb.html</a> 파일은 열쇠모양의 문자열을 보여주는데, "vhnl tldv xyl vcxelo xv <a href="qhrtv.zkolg">qhrtv.zkolg</a>"라는 문자열이 반복되어 있다. 이 문자열을 a=23, b=23으로 잡고 Affine cipher로 해독하면 "some keys are shaped as <a href="locks.index">locks.index</a> (어떤 키들은 자물쇠처럼 보이기도 하지)" 라는 문장을 얻을 수 있다. 이 말을 근거로 추측한 결과, 트레이서 이미지의 encrypted되어 보이던 문자열이 payload를 실행시키는 activation code로 확인되었다. 트레이서 이미지의 문자열은 encrypted password가 아닌 그냥 password였던 것. activation code를 입력하면 아래와 같은 결과가 나온다. Activation code는 Linux/Windows 불문 복붙(Ctrl+c/Ctrl+v)이 되니, 직접 넣으려고 하지 말고, 복붙하자. 참고로 Linux 콘솔에서처럼 위/아래 화살표 키를 누르면 이전 명령어/다음 명령어로 넘어갈 수 있다.<br /><br />lmrco> exec payload<br />Activation Code: U2FsdGVkX1+vupppZksvRf5pq5g5XjFRIipRkwB0K1Y96Qsv2Lm+31cmzaAILwytX/z66ZVWEQM/ccf1g+9m5Ubu1+sit+A9cenDxxqkIaxbm4cMeh2oKhqIHhdaBKOi6XX2XDWpa6+P5o9MQw====<br />...Estableciendo conexión...<br />...Protocolo Sombra v2.2 iniciado... [솜브라 아이콘]<br /><br />...La planta nuclear de Dorado sobrecargada...<br />98338<br /><br />...Terminando conexión...<br /><br /><br />메시지를 영어로 번역하면,<br /><br />...Establishing connection...<br />...Protocolo v2.2 Sombra started... [솜브라 아이콘]<br /><br />...The nuclear plant Dorado overcharged...<br />98338 (계속 올라가는 중)<br /><br />...Terminating connection...<br /><br /><br />98338은 admin 페이지의 솜브라 해골 아이콘 옆의 숫자와 같다. 사용자들이 exec payload 할 때마다 숫자(카운터)가 올라가는 것으로 보이며, 솜브라가 예전에 "너희들의 도움이 필요해!"라고 한 만큼 exec payload를 실행한 숫자가 올라갈수록 원자력발전소 과부하가 걸리는 구조가 아닌가 추측하는 중. Sombra를 빨리 보고 싶은 사용자들은 당연히 script를 돌리는 중. <br /><br />while(true){$.ajax({type:'POST',async:false,url:"/api/",contentType:"application/json",dataType:"json",processData:!1,data:<a href="JSON.stringify">JSON.stringify</a>({jsonrpc:"2.0",method:"exec",params:["payload"],id:2})})$.ajax({type:'POST',async:false,url:"/api/",contentType:"application/json",dataType:"json",processData:!1,data:<a href="JSON.stringify">JSON.stringify</a>({method:"exec",step:4,message:"",params:["U2FsdGVkX1+vupppZksvRf5pq5g5XjFRIipRkwB0K1Y96Qsv2Lm+31cmzaAILwytX/z66ZVWEQM/ccf1g+9m5Ubu1+sit+A9cenDxxqkIaxbm4cMeh2oKhqIHhdaBKOi6XX2XDWpa6+P5o9MQw===="]})})}<br /><br /><br />exec payload의 결과인지 admin 페이지의 게이지(원자력 발전소 과부하 게이지?)도 계속 올라가고 있는데, 1-2시간 내로(2016.11.2 9am KST, 2016.11.1 5pm PDT) 100%에 다다를 것으로 보인다. 오버워치 twitter에는 Lumerico 과부하에 대한 트윗이 올라왔다. Lumerico 네트워크가 해킹 되었고 멕시코 전역에 정전이 벌어지고 있다고. <a href="https://twitter.com/PlayOverwatch/status/793572004569894912/photo/1?ref_src=twsrc%5Etfw">https://twitter.com/PlayOverwatch/status/793572004569894912/photo/1?ref_src=twsrc%5Etfw</a> 비슷한 시각에 Halloween 주간 난투가 내려갔다.<br /><br /></p><p><img src='https://t1.daumcdn.net/cfile/cafe/2658114159291C2B15' class="txc-image" /></p><p class="cafe-editor-text">볼스카야 인더스트리<br /><br />루메리코 핵반응로 과부하 수치가 100%에 도달한 이후, 루메리코 홈페이지에서는 솜브라가 "Dasvidanya"라고 러시아어로 감사의 인사를 하면서 '이것이 새로운 힌트가 되면 좋겠군요'라고 언급한다. 소스코드 상에서는 "MISDIRECTION"이라는 주석이 발견되었는데 이를 토대로MISDIRECTION 페이지를 찾을 수 있었고, 해당 페이지에서는 볼스카야 인더스트리 홈페이지의 주소가 나와있었다. 볼스카야 인더스트리 홈페이지는 현재 다운된 상태. 한달 전에 발견된 볼스카야 맵에서모니터 맵 소품의 솜브라 프로토콜 버전이 '2.3'인 것도 재확인되었다.<br /><br />솜브라 플레이어 아이콘과 (MJimenez의 이메일에서 언급된 것으로 추정되는) 그래피티가 발견되었다. 예전에 영웅 갤러리에서 모든 영웅의 아이콘 갯수가 두세 개씩 늘어난 것과 관련이 있는 것으로 보인다.<br /><br /></p><p><img src='https://t1.daumcdn.net/cfile/cafe/2633D54359291C2B09' class="txc-image" /></p><p class="cafe-editor-text"><br /><br /><br />도라도 뉴스(11.03)<br /><br />루메리코 CEO 사임<br /><br /></p><p><img src='https://t1.daumcdn.net/cfile/cafe/2220794459291C2C11' class="txc-image" /></p><p class="cafe-editor-text"><br />같은시각 루메리코 홈페이지엔 왕은 죽었다란 글이 올라왔다.<br /><br /><br /><br /><br /><br />그런데 결국 영웅 공개는 유출되고 끝났다는 이야기...☆☆</p><p><img src='https://t1.daumcdn.net/cfile/cafe/236A723D59291C2C1F' class="txc-image" /></p>
<!-- -->
첫댓글 뭐라고?ㅎ 어쨋든 류브라 조아~
진짜 대단하다...
여자한조