Хакер розповів про компрометацію Hacking Team

Майже через рік після компрометації кибергруппы Hacking Team, нарешті стали відомі деталі цього інциденту, а саме, хто за цим стояв, а також мотивація такої дії. Видання Motherboard опублікувало деталі компрометації HT, які засновані на що з'явилася на ресурсі pastebin інформації (іспанською) самого хакера. Людина під псевдонімом Phineas Fisher не тільки детально описав процес отримання архіву з 400GB конфіденційними даними, але також навів свої політичні доводи і мотивацію.



За твердженням Phineas Fisher злом був мотивований тим фактом, що послуги Hacking Team використовувалися спецслужбами для порушення прав людини. Нагадаємо, що спецслужби різних країн були основними клієнтами HT. У зломі брав участь один чоловік і це зайняло у нього сто годин роботи.

that's the beauty and asymmetry of hacking: with just 100 hours of work, one person can undo years of a multimillion dollar company's work. Hacking gives the underdog a chance to fight and win.
Хакер пише, що з'явилися документи кибергруппы показують, що вони зловживали терміном «етичний хакінг», продаючи свої послуги тим, хто, на його думку, був сам достоїн компрометації.

I see [Hacking team's CEO David] Vincenzetti, his company, and his friends in the police, military and governments, as part of a long tradition of Italian fascists.
Хакер стверджує, що на початковому етапі компрометації внутрішньої мережі HT, використовувався 0day експлойт в embedded-пристрої, деталі якого не розкриваються.

Hacking Team tenía muy poco expuesto al internet. Por ejemplo, diferente a Gamma Group, su sitio de atención al cliente necesita un certificado del cliente para conectar. Lo que tenía era su sitio web principal (un blog Joomla en que Joomscan no revela ningún fallo grave), un servidor de correos, un par de routers, dos dispositivos VPN, y un dispositivo para filtrar spam. Entonces tuve tres opciones: buscar un 0day en Joomla, buscar un 0day en postfix, o buscar un 0day en uno de los sistemas embebidos. Un 0day en un sistema embebido me pareció la opción más alcanzable, y después de dos semanas de trabajo de ingeniería inversa, logré un exploit remoto de root. Dado que las vulnerabilidades aún no han sido parcheadas, no voy a dar más detalles. Para más información sobre como buscar este tipo de vulnerabilidades, véase y.
У мене було мало можливостей для компрометації Hacking Teeam через Інтернет. Наприклад, на відміну від організації Gamma Group, HT використовували ідентифікацію клієнта на основі цифрового сертифіката. Компрометація могла бути виконана через веб-сайт HT (керований Joomla, причому сканер Joomscan не знайшов у ньому істотних вразливостей), поштовий сервер, через пару роутерів, два пристрої VPN, і пристрій фільтрації спаму. Таким чином, у мене було три варіанти: знайти 0day уразливість в Joomla, postfix, або в embedded-пристрої. Виявлення уразливість в embedded-пристрої мені здалося цілком здійсненним завданням і витративши на це два тижні мені вдалося написати експлойт з функцією надання права root. Так як уразливості досі не закриті, я не буду розкривати їх деталі.
Я витратив багато часу на розробку і тестування експлойта перед його використанням проти HT. Був написаний спеціальний firmware-бекдор, а також були підготовлені ряд інструментів для роботи на embedded-пристрої після отримання доступу до нього. Firmware-бекдор використовувався для захисту використовуваного експлойта. Використання експлойта один раз з поверненням управління бэкдору ускладнює роботу по виявленню використаних вразливостей і подальшого їх виправлення.




Модифікації таких відомих інструментів для embedded-пристрої використовувалися для роботи та виконання необхідних дій:

  • Набір інструментів busybox для роботи на ОС пристрою.
  • Інструмент nmap для сканування внутрішньої мережі HT.
  • Скрипт Responder.py, який призначений для здійснення атак на локальну мережу під управлінням Windows, коли у атакуючого є доступ до внутрішньої мережі, але відсутні облікові дані для входу в домен.
  • Пакет Python для виконання попереднього сценарію.
  • Інструмент tcpdump для отримання переданого трафіку.
  • Інструмент dsniff для відстеження небезпечною передачі паролів для таких сервісів як ftp, а також для виконання атаки типу ARP spoofing.
  • Інструмент ретрансляції socat.
  • Інструмент screen для виконання розширеного спектру дій в системі.
  • SOCKS проксі-сервер.
  • Мережевий інструмент tgcd.


Як видно з розповіді автора, після отримання доступу до внутрішньої мережі організації, він використовував різні експлойти Windows для отримання прав адміністратора в системі. Крім 1day експлойтів, для цього використовувалися атаки типу Pass-the-Hash, а також інструмент віддаленого доступу (RAT). В цілому, згадувані кроки мало чим відрізняються від кроків зловмисників, які використовуються в аналогічних комплексних кібератак, які вже неодноразово розкривалися security-фірмами…

Іншу інформацію про кібератаці можна отримати на pastebin.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.