Prawie rok po tym, jak w艂oski producent oprogramowania do nadzoru Hacking Team mia艂 swoje wewn臋trzne e-maile i pliki wyciek艂y online, haker odpowiedzialny za naruszenie opublikowa艂 pe艂ne sprawozdanie z tego, w jaki spos贸b infiltrowa艂 on firm臋. network.

Dokument opublikowany w sobot臋 przez hakera znanego pod nazw膮 Phineas Fisher ma s艂u偶y膰 jako przewodnik dla innych haktywist贸w, ale tak偶e rzuca 艣wiat艂o na to, jak trudno jest ka偶dej firmie broni膰 si臋 przed zdeterminowanym i sprawnym napastnikiem.

Haker powi膮za艂 z hiszpa艅sk膮 i angielsk膮 wersj膮 swojego zapisu z parodystycznego konta na Twitterze o nazwie @GammaGroupPR, kt贸re za艂o偶y艂 w 2014 r., Aby promowa膰 swoje naruszenie Gamma International, innego producenta oprogramowania do nadzoru r. U偶y艂 tego samego konta do promowania ataku Hacking Team w lipcu 2015 r.

Na podstawie nowego raportu Fisher, w艂oska firma mia艂a pewne dziury w swojej wewn臋trznej infrastruktur臋, ale r贸wnie偶 wprowadzono dobre praktyki bezpiecze艅stwa. Na przyk艂ad nie mia艂o wielu urz膮dze艅 nara偶onych na dzia艂anie Internetu, a jego serwery rozwojowe, na kt贸rych przechowywano kod 藕r贸d艂owy oprogramowania, znajdowa艂y si臋 w odizolowanym segmencie sieci.

Wed艂ug hakera, systemy firmy, do kt贸rych mo偶na uzyska膰 dost臋p z Internetu by艂y to: portal obs艂ugi klienta, kt贸ry wymaga艂 dost臋pu do certyfikat贸w klienta, strona internetowa oparta na systemie CMS Joomla, kt贸ry nie mia艂 oczywistych s艂abo艣ci, kilka router贸w, dwie bramy VPN i urz膮dzenie filtruj膮ce spam.

"Mia艂em trzy opcje: wygl膮d na 0 dni w Joomla, poszukaj posta w dzie艅, albo poszukaj na 0 dni w jednym z urz膮dze艅 wbudowanych - powiedzia艂 haker, odwo艂uj膮c si臋 do wcze艣niej nieznanych lub zero-dniowych exploit贸w. "0 dni w osadzonym urz膮dzeniu wydawa艂o si臋 naj艂atwiejsz膮 opcj膮, a po dw贸ch tygodniach pracy nad in偶ynieri膮 wsteczn膮 otrzyma艂em zdalny exploit root."

Ka偶dy atak, kt贸ry wymaga wcze艣niej nieznanej luki, powoduje podniesienie poprzeczki dla atakuj膮cych. Jednak fakt, 偶e Fisher widzia艂 routery i urz膮dzenia VPN, jako 艂atwiejsze cele, wskazuje na niski poziom bezpiecze艅stwa urz膮dze艅 wbudowanych.

Haker nie poda艂 偶adnych innych informacji na temat wykorzystanej luki w zabezpieczeniach ani okre艣lonego urz膮dzenia, kt贸re z艂ama艂, poniewa偶 wada nie zosta艂o jeszcze za艂atane, wi臋c nadal jest przydatne do innych atak贸w. Warto jednak podkre艣li膰, 偶e routery, bramki VPN i urz膮dzenia antyspamowe s膮 urz膮dzeniami, z kt贸rych wiele firm prawdopodobnie ma po艂膮czenie z Internetem.

W rzeczywisto艣ci haker twierdzi, 偶e przetestowa艂 exploit, narz臋dzia poeksploatacyjne, kt贸re utworzy艂 dla urz膮dzenia osadzonego przed innymi firmami, zanim u偶yje ich przeciwko Zespo艂owi Hackingowemu. Mia艂o to na celu upewnienie si臋, 偶e nie b臋d膮 generowa膰 偶adnych b艂臋d贸w ani awarii, kt贸re mog艂yby zaalarmowa膰 pracownik贸w firmy po wdro偶eniu.

Zaatakowane urz膮dzenie zapewni艂o Fisherowi oparcie w wewn臋trznej sieci Hacking Team i miejsce, w kt贸rym mo偶na skanowa膰 w poszukiwaniu innych wra偶liwych lub 藕le skonfigurowane systemy. Wkr贸tce go znalaz艂.

Najpierw znalaz艂 nieuwierzytelnione bazy danych MongoDB, kt贸re zawiera艂y pliki audio z testowych instalacji oprogramowania nadzoruj膮cego Hacking Team o nazwie RCS. Nast臋pnie znalaz艂 dwa urz膮dzenia NAS (Synology Network Attached Storage), kt贸re by艂y u偶ywane do przechowywania kopii zapasowych i nie wymaga艂y uwierzytelniania przez Internetowy Interfejs Ma艂ego Systemu Komputerowego (iSCSI).

To pozwoli艂o mu zdalnie zamontowa膰 swoje systemy plik贸w i uzyska膰 dost臋p do maszyny wirtualnej przechowywane na nich kopie zapasowe, w tym jeden dla serwera poczty Microsoft Exchange. W ga艂臋zi rejestru systemu Windows w innej kopii zapasowej podano mu has艂o administratora lokalnego dla serwera BlackBerry Enterprise Server.

U偶ycie has艂a na serwerze Live umo偶liwi艂o hakerowi wyodr臋bnienie dodatkowych po艣wiadcze艅, w tym has艂a dla administratora domeny systemu Windows. Ruch boczny w sieci nadal by艂 kontynuowany za pomoc膮 narz臋dzi takich jak PowerShell, Meterploit's Meterpreter i wiele innych narz臋dzi, kt贸re s膮 otwarte lub s膮 zawarte w systemie Windows.

Skierowa艂 on na komputery u偶ywane przez administrator贸w system贸w i ukrad艂 ich has艂a, otwieraj膮c dost臋p do innych cz臋艣ci sieci, w tym do hosta kodu 藕r贸d艂owego RCS.

Poza pocz膮tkowym exploitem i backdoored firmware wydaje si臋, 偶e Fisher nie u偶ywa艂 偶adnych innych program贸w, kt贸re mo偶na by uzna膰 za z艂o艣liwe. Wi臋kszo艣膰 z nich to narz臋dzia przeznaczone do administrowania systemem, kt贸rych obecno艣膰 na komputerach niekoniecznie powodowa艂aby alarmy bezpiecze艅stwa.

"To pi臋kno i asymetria hakowania: 100 godzin pracy, jedna osoba mo偶e cofn膮膰 lata pracy przez wiele Firma warta miliony dolar贸w - powiedzia艂 haker pod koniec pisania. "Hacking daje s艂abszej szansie szans臋 na walk臋 i zwyci臋stwo."

Fisher atakowa艂 Hacking Team, poniewa偶 oprogramowanie firmy by艂o podobno u偶ywane przez niekt贸re rz膮dy z rejestracj膮 przypadk贸w 艂amania praw cz艂owieka, ale jego wniosek powinien by膰 ostrze偶eniem dla wszystkich firm, kt贸re mo偶e przyci膮gn膮膰 gniew haktywist贸w, kt贸rych w艂asno艣膰 intelektualna mo偶e zainteresowa膰 cyberprzest臋pc贸w.