Развитие событий из поста Хакер в подробностях рассказал как он взломал HACKING TEAM http://pikabu.ru/story/khaker_v_podrobnostyakh_rasskazal_kak...

В прошедшие выходные хакер, называющий себя Финиас Фишер (Phineas Fisher), обнародовал на PasteBin длинный и подробный рассказ о том, как летом 2015 года ему в одиночку удалось взломать известного поставщика шпионского ПО — компанию Hacking Team. Публикация вызвала большой резонанс в СМИ по всему миру, что вынудило представителей Hacking Team как-то прокомментировать происходящее. Глава компании Давид Винченцетти (David Vincenzetti) опубликовал открытое письмо, в котором заявил, что пресса искажает факты.

Содержимое объёмного поста Фишера мы уже подробно разбирали ранее. Хакер не просто пошагово рассказал о том, как именно ему удалось похитить у Hacking Team 400 Гб внутренних данных, но перечислил использованные для этого инструменты, методики и техники. Фишер написал своего рода гайд, и не ленился делать отступления в тексте, объясняя даже самое очевидное.

Фишер стал первым, кто обоснованно, предъявляя доказательства, взял на себя ответственность за этот скандальный взлом. К слову о доказательствах – к рассказу Фишер приложил скриншоты, снятые с рабочих столов сотрудников Hacking Team, скрины файлов, паролей и многое другое.

В 2015 году сами представители Hacking Team заявляли, что их атаковала некая группа лиц, имеющих высокую квалификацию, возможно, даже правительственные хакеры-профессионалы. «Это явно был не какой-то случайный человек», — говорил тогда руководитель компании Давид Винченцетти . Также сотрудники Hacking Team сами распространяли слухи о том, что утечка данных и столь успешная атака могли быть следствием внутреннего саботажа, и, вероятно, это дело рук бывших сотрудников компании.

Теперь, когда эти громкие теории фактически опровергнуты, Hacking Team вновь вынуждена оправдываться. Летом 2015 года, вскоре после взлома, представители компании уже пытались заявлять, что они – «хорошие парни», а пресса и эксперты превратно трактуют содержимое 400-гигабайтного архива с данными. На сегодняшний день дела у Hacking Team идут хуже, чем год назад. В частности, компания недавно лишилась международной лицензии. Тон свежего письма Винченцетти тоже изменился и стал более агрессивным.

«Худшие представители нынешних медиа продолжают несправедливо и ошибочно очернять Hacking Team», — пишет Винченцетти. — «Последние [сообщения] стали следствием публикации саморекламного эссе, написанного неким человеком, который взял на себя ответственность за атаку на нашу компанию прошлым летом. Автор очерка заявляет, что объяснил, как была осуществлена атака, но нестыковки в его истории лишь доказывают, что он так умен, как ему кажется.
В погоне за сенсациями, некоторые издания, как обычно, игнорируют два простых факта: преступники и террористы в наши дни постоянно используют интернет, применяя end-to-end шифрование, чтобы грабить, убивать и терроризировать целые нации. Hacking Team поставляет ряд инструментов правоохранительным органами и спецслужбам со всего мира, чтобы они могли обезопасить своих граждан.
Но вместо того, чтобы писать об этой неудобной правде, сайты и газеты празднуют своеобразную победу этого народного мстителя, который взломал компанию и похитил документы и ПО. Их мотивы всё те же, что руководили охотниками за сенсациями 150 лет назад – главное привлечь читателей, и к черту правду.
К счастью, правоохранительные органы нескольких стран мира уже проводят расследование. Мы надеемся, что этого мстителя, который похваляется своей работой, вскоре арестуют и предъявят ему обвинения.
Тем временем, невзирая на предположения экспертов, которые писали, что Hacking Team никогда не оправится от этой атаки, и невзирая на надежды остальных, Hacking Team, по сути, восстановила свой законный шпионский продукт и разрабатывает новые передовые инструменты. Одновременно с этим компания подвергалась тщательной реконструкции и обезопасила свои внутренние сети.
Hacking Team продолжит производить и поставлять передовое ПО для помощи правоохранительным органам и властям, чтобы все мы были в безопасности.
Хорошего дня, Давид».

Журналисты Vice Motherboard смогли связаться с Фишером и попросили его прокомментировать послание главы Hacking Team. Вот что ответил хакер:

«Интересно, что со временем Винченцетти стал более антикапиталистичен. Раньше он писал так: “ОБРАЗЦОВОЕ наказание. Это СПРАВЕДЛИВО. Это именно ТА справедливость, что нам нужна… ДАРКНЕТ”, но теперь он пишет нормально».

Письмо Hacking Team http://hackingteam.it/news/2016/04/18/on-our-security-breach...

Ответ Фишера http://motherboard.vice.com/read/hacking-team-ceo-bashes-sen...

Пруф https://xakep.ru/2016/04/20/hacking-team-letter/

Хотя после взлома на всеобщее обозрение выплыли различные факты, часть из которых откровенно порочила репутацию Hacking Team (к примеру, сотрудничество с Ливией, Суданом, Эфиопией и другими странами, властям которых определенно не стоило продавать глобальный шпионский софт), руководство компании попыталось оправдаться и принести извинения. В итоге, как это ни странно, Hacking Team не слишком пострадала в результате этого скандала и, по последним данным, даже осталась на плаву. Тем не менее, кто взломал одного из крупнейших поставщиков продукции для спецслужб, так и осталось неясно.

Публикация Финиаса Фишера написана в духе мануала для начинающих хакеров. Он не только рассказывает о взломе Hacking Team, но читает настоящую лекцию об информационной безопасности в целом, рассказывая обо всём, начиная практически с самых азов. Фишер, в частности, пишет о том, почему использование Tor – это не панацея, учит правильно пользоваться поиском Google (как это делают пентестеры), а также объясняет, как правильно собирать личные данные о жертве и применять социальную инженерию. Крайне рекомендуем ознакомиться с полной версией текста на PasteBin, а в этой заметке мы всё же сконцентрируемся на взломе Hacking Team.

Фишер утверждает, что входной точкой его атаки стало некое «встроенное устройство» подключенное к внутренней сети Hacking Team. Хакер не раскрывает подробностей о том, что это было за устройство, зато он отмечает, что обычно найти точку проникновения гораздо легче. Дело в том, что специально для атаки Фишер нашел 0-day в этом «встроенном устройстве», создал собственную прошивку для него и оснастил ее бэкдором. Хакер пишет, что на создание удаленного root-эксплоита у него ушло две недели, а также отказывается раскрывать данные о природе самой 0-day уязвимости. Фишер объясняет своё нежелание тем, что баг до сих пор не исправлен.

Проникнув в сеть Hacking Team, Фишер какое-то время наблюдал и собирал данные. Он написал ряд собственных инструментов для атаки, и использовал свой эксплоит всего раз – для внедрения в сеть, а затем возвращался в систему уже через оставленный там бэкдор. Также при проведении опытов было важно не дестабилизировать систему и не выдать своего присутствия, поэтому несколько недель Фишер тренировался и проверял все подготовленные инструменты, эксплоит и бэкдор в сетях других уязвимых компаний. Для последующего изучения сети Hacking Team Фишер использовал busybox, nmap, Responder.py, tcpdump, dsniff, screen и другие тулзы.

Потом Фишеру повезло. Он обнаружил пару уязвимых баз MongoDB сконфигурированных совершенно неправильно. Именно здесь хакер нашел информацию о бэкапах компании, а затем добрался и до самих бэкапов. Самой полезной его находкой стал бэкап почтового сервера Exchange. Фишер принялся прицельно искать в нем информацию о паролях или хешах, которые моги бы предоставить ему доступ к «живому» серверу. Для этого он использовал pwdump, cachedump и lsadump, и удача снова ему улыбнулась. Фишер обнаружил учетные данные аккаунта администратора BES (BlackBerry Enterprise Server). Данные оказались действительны, что позволило Фишеру повысить свои привилегии в системе, в итоге получив пароли других пользователей компании, включая пароль администратора домена.

На этом этапе Фишер уже опасался, что его присутствие вот-вот заметят, поэтому принялся срочно скачивать информацию с почтового сервера компании. Однако хакера никто так и не обнаружил.

Изучив похищенные письма и документы, Фишер заметил, что пропустил кое-что важное – «Rete Sviluppo», изолированную сеть внутри основной сети Hacking Team, где команда хранила исходные коды своего RCS (Remote Control System), то есть шпионского ПО для слежки за пользователями. Рассудив, что у сисадминов должен быть доступ к этой сети, Фишер (уже обладающий привилегиями администратора домена) проник на компьютеры Мауро Ромео (Mauro Romeo) и Кристиана Поцци (Christian Pozzi). На их машины он подсадил кейлоггеры, софт, делающий снимки экрана, поработал с рядом модулей metasploit, а также просто изучил содержимое компьютеров. В системе Поцци обнаружился Truecrypt-том, и Фишер терпеливо дождался, пока разработчик его смонтирует, а затем скопировал оттуда все данные. Среди файлов с зашифрованного тома обнаружился обычный файл .txt с кучей разных паролей. Нашелся там и пароль от сервера Fully Automated Nagios, который имел доступ к закрытой сети Sviluppo для мониторинга. Фишер нашел то, что искал.

Кроме того, просматривая похищенную почту, хакер обнаружил, что одному из сотрудников дали доступ к репозиториям компании. Так как Windows-пароль сотрудника был уже известен Фишеру, он попробовал применить его же для доступа к git-серверу. И пароль сработал. Тогда Фишер попробовал sudo, и всё вновь сработало. Для доступа к серверу GitLab и Twitter-аккаунту Hacking Team взломщик вообще использовал функцию «я забыл пароль», в сочетании с тем фактом, что он имел свободный доступ к почтовому серверу компании.

На этом Фишер счел компрометацию Hacking Team окончательной и всецелой. Он пишет:

«Вот и всё, что потребовалось, чтобы уничтожить компанию и остановить нарушение прав человека. Вот она – красота и ассиметрия хакинга: всего 100 часов работы и один человек может перечеркнуть годы работы многомиллионной компании. Хакинг дает аутсайдерам шанс сражаться и победить».

В конце Фишер отмечает, что он хотел бы посвятить данный взлом и этот подробный гайд многочисленным жертвам итальянских фашистов. Он заявляет, что компания Hacking Team, ее глава Давид Винченцетти (David Vincenzetti), давняя дружба компании с правоохранительными органами – всё это части давно укоренившейся в Италии традиции фашизма. После таких заявлений мотивы Фишера, который пишет о себе как о «этичном хакере», становятся вполне ясны.

Материалы:

Hacking Team в Twitter https://twitter.com/hackingteam

Пруф https://xakep.ru/2016/04/18/hacking-team-hack/

На хабре https://habrahabr.ru/company/eset/blog/281743/

Ссылку на PasteBin добавить не могу, т.к. домен тут считается запрещенным.