Спустя почти год после компрометации кибергруппы Hacking Team, наконец стали известны детали этого инцидента, а именно, кто за этим стоял, а также мотивация такого действия. Издание Motherboard опубликовало детали компрометации HT, которые основаны на появившейся на ресурсе pastebin информации (на испанском) самого хакера. Человек под псевдонимом Phineas Fisher не только детально описал процесс получения архива с 400GB конфиденциальными данными, но также привел свои политические доводы и мотивацию.
По утверждению Phineas Fisher взлом был мотивирован тем фактом, что услуги Hacking Team использовались спецслужбами для нарушения прав человека. Напомним, что спецслужбы различных стран были основными клиентами HT. Во взломе участвовал один человек и это заняло у него сто часов работы.
That’s the beauty and asymmetry of hacking: with just 100 hours of work, one person can undo years of a multimillion dollar company’s work. Hacking gives the underdog a chance to fight and win.
Хакер пишет, что утекшие документы кибергруппы показывают, что они злоупотребляли термином «этический хакинг», продавая свои услуги тем, кто, по его мнению, был сам достоен компрометации.
I see [Hacking Team’s CEO David] Vincenzetti, his company, and his friends in the police, military and governments, as part of a long tradition of Italian fascists.
Хакер утверждает, что на начальном этапе компрометации внутренней сети HT, использовался 0day эксплойт в embedded-устройстве, детали которого не раскрываются.
Hacking Team tenía muy poco expuesto al internet. Por ejemplo, diferente a Gamma Group, su sitio de atención al cliente necesita un certificado del cliente para conectar. Lo que tenía era su sitio web principal (un blog Joomla en que Joomscan no revela ningún fallo grave), un servidor de correos, un par de routers, dos dispositivos VPN, y un dispositivo para filtrar spam. Entonces tuve tres opciones: buscar un 0day en Joomla, buscar un 0day en postfix, o buscar un 0day en uno de los sistemas embebidos. Un 0day en un sistema embebido me pareció la opción más alcanzable, y después de dos semanas de trabajo de ingeniería inversa, logré un exploit remoto de root. Dado que las vulnerabilidades aún no han sido parcheadas, no voy a dar más detalles. Para más información sobre como buscar este tipo de vulnerabilidades, véase y.
У меня имелось мало возможностей для компрометации Hacking Teeam через Интернет. Например, в отличие от организации Gamma Group, HT использовали идентификацию клиента на основе цифрового сертификата. Компрометация могла быть выполнена через веб-сайт HT (управляемый Joomla, причем сканер Joomscan не нашел в нем существенных уязвимостей), почтовый сервер, через пару роутеров, два устройства VPN, и устройство фильтрации спама. Таким образом, у меня имелось три варианта: найти 0day уязвимость в Joomla, postfix, или в embedded-устройстве. Обнаружение уязвимости в embedded-устройстве мне показалось вполне выполнимой задачей и потратив на это две недели мне удалось написать эксплойт с функцией предоставления прав root. Так как уязвимости до сих пор не закрыты, я не буду раскрывать их детали.
Я потратил много времени на разработку и тестирование эксплойта перед его использованием против HT. Был написан специальный firmware-бэкдор, а также были подготовлены ряд инструментов для работы на embedded-устройстве после получения доступа к нему. Firmware-бэкдор использовался для защиты используемого эксплойта. Использование эксплойта один раз с возвратом управления бэкдору усложняет работу по обнаружению использованных уязвимостей и последующего их исправления.
Модификации следующих известных инструментов для embedded-устройства использовались для работы и выполнении необходимых действий:
- Набор инструментов busybox для работы на ОС устройства.
- Инструмент nmap для сканирования внутренней сети HT.
- Скрипт Responder.py, который предназначен для осуществления атак на локальную сеть под управлением Windows, когда у атакующего есть доступ к внутренней сети, но отсутствуют учетные данные для входа в домен.
- Пакет ПО Python для исполнения предыдущего скрипта.
- Инструмент tcpdump для получения передаваемого трафика.
- Инструмент dsniff для отслеживания небезопасной передачи паролей для таких сервисов как ftp, а также для выполнения атаки типа ARP spoofing.
- Инструмент ретрансляции socat.
- Инструмент screen для выполнения расширенного спектра действий в системе.
- SOCKS прокси-сервер.
- Сетевой инструмент tgcd.
Как видно из рассказа автора, после получения доступа к внутренней сети организации, он использовал различные эксплойты Windows для получения прав администратора в системе. Кроме 1day эксплойтов, для этого использовались атаки типа Pass-the-Hash, а также инструмент удаленного доступа (RAT). В целом, упоминаемые шаги мало чем отличаются от шагов злоумышленников, используемых в аналогичных комплексных кибератак, которые уже неоднократно раскрывались security-фирмами…
Прочую информацию о кибератаке можно получить на pastebin.
ссылка на оригинал статьи https://habrahabr.ru/post/281743/
Добавить комментарий