Σχεδόν ένα χρόνο μετά το hacking στην Hacking Team, ο hacker που το κατάφερε δημοσίευσε τον τρόπο που χρησιμοποίησε γα να παραβιάσει τους διακομιστές της εταιρείας. Να υπενθυμίσουμε ότι μετά την παραβίαση, έκλεψε όλα τους τα δεδομένα.
Ο hacker FinFisher γνωστός και σαν Phineas Fisher, δημοσίευσε στο Pastebin τη διάρκεια του Σαββατοκύριακου, τον τρόπο που πραγματοποίησε την επίθεση, και ποια ήταν εργαλεία που χρησιμοποίησε.
Ο hacker αποκάλυψε ότι το σημείο εισόδου στις υποδομές της Hacking Team ήταν ένα zero-day root exploit σε μια ενσωματωμένη συσκευή που υπάρχει στο εσωτερικό εταιρικό δίκτυο της εταιρείας. Αρνήθηκε βέβαια να ονομάσει την ακριβή φύση και το σκοπό της ενσωματωμένης συσκευής.
Ο FinFisher αναφέρει ότι ξόδεψε πολύ χρόνο για τη σάρωση του δικτύου της εταιρείας, ανακαλύπτοντας και μια ευπάθεια στο frontend της ιστοσελίδας που χρησιμοποιεί Joomla. Εκτός από τα παραπάνω ανακάλυψε αρκετά ζητήματα ασφαλείας που επηρέαζαν τους servers ηλεκτρονικού ταχυδρομείου, δύο routers, και ορισμένα VPN. Ο ερευνητής κατέληξε στο συμπέρασμα ότι το zero-day exploit που εντόπισε ήταν πολύ αξιόπιστο για περαιτέρω επιθέσεις.
Μετά τη σύνταξη και την ανάπτυξη ενός backdoored firmware στην ευάλωτη ενσωματωμένη συσκευή, περίμενε, “ακούγοντας” την εσωτερική κυκλοφορία, σαρώνοντας και χαρτογραφώντας τις τοπικές υποδομές.
Έτσι ανακάλυψε δύο ευάλωτες βάσεις δεδομένων MongoDB που οι admins της Hacking Team δεν προστάτευαν με κάποιο κωδικό πρόσβασης (!). Εκεί βρήκε λεπτομέρειες για το εφεδρικό σύστημα της εταιρείας και το που αποθήκευε τα αντίγραφα ασφαλείας.
Το πιο πολύτιμο αντίγραφο ασφαλείας ήταν στον διακομιστή ηλεκτρονικού ταχυδρομείου Exchange, από μπόρεσε να εξάγει από το BES (BlackBerry Enterprise Server) τον κωδικό πρόσβασης του λογαριασμού του διαχειριστή, ο οποίος εξακολουθούσε να ισχύει.
Αυτός ο κωδικός πρόσβασης επέτρεψε στον FinFisher να αποκτήσει πρόσβαση στον διακομιστή σαν διαχειριστής. Έτσι μπόρεσε να εξάγει όλους τους κωδικούς πρόσβασης από όλους τους χρήστες της εταιρείας.
Φυσικά ο hacker γνώριζε ότι υπήρχε η πιθανότητα να τον πιάσουν κάποια στιγμή. Έτσι το πρώτο πράγμα που έκανε ήταν να χρησιμοποιήσετε το Windows PowerShell για να πάρει τα δεδομένα που βρισκόταν στο διακομιστή e-mail της εταιρείας. Για τις επόμενες εβδομάδες, για όσο είχε πρόσβαση, λάμβανε καθημερινά τα νέα e-mail.
Μετά την ανάγνωση μερικών emails, ο FinFisher κατάλαβε ότι υπήρχε άλλο ένα κρυφό δίκτυο εντός των εγκαταστάσεων της εταιρείας, όπου η Hacking Team αποθήκευε τον πηγαίο κώδικα του RCS. (το top λογισμικό επιτήρησης της εταιρείας Remote Control System).
Με την πρόσβαση που είχε στους υπολογιστές του καθενός, αλλά και με τον κωδικό πρόσβασης του διαχειριστής, ο FinFisher επικεντρώθηκε σε ένα από τους κορυφαίους προγραμματιστές της εταιρείας, τον Christian Pozzi.
Σάρωσε τους υπολογιστές του Pozzi και τους λογαριασμούς ηλεκτρονικού ταχυδρομείου που χρησιμοποιούσε, και τελικά ανακάλυψε τον κωδικό πρόσβασης για το Web interface του GitLab source code management system.
“Αυτό είναι το μόνο που χρειάζεται για να ρίξετε μια εταιρεία και να σταματήσετε τις παραβιάσεις των ανθρωπίνων δικαιωμάτων. Αυτή είναι η ομορφιά και η ασυμμετρία της πειρατείας: Με 100 ώρες εργασίας, ένα άτομο μπορεί να αναιρέσει χρόνια δουλειάς από μια εταιρεία πολλών εκατομμυρίων δολαρίων,” αναφέρει ο FinFisher.
“Το Hacking δίνει στους αουτσάιντερς την ευκαιρία να πολεμήσουν και να κερδίσουν.”
Για περισσότερες λεπτομέρειες διαβάστε από το παρακάτω link
