17.07.2015 | 13:36

Adam Haertle

Jak Hacking Team bezczelnie oszukiwał klientów i które antywirusy go nie wykrywały

Hacking Team twierdził, że produkowane przez niego konie trojańskie są niewykrywalne dla większości antywirusów. W rzeczywistości wcale tak nie było, lecz klienci byli oszukiwani w trakcie prezentacji produktów na żywo.

Kolejne ciekawe materiały znalezione w archiwum wykradzionej poczty z serwerów Firmy Hacking Team pokazują, jak jej przedstawiciele by ukryć problemy techniczne oszukiwali swoich klientów w trakcie demonstracji produktów od których zależała akceptacja dostawy.

Koń trojański nie działa? Uruchomimy jeszcze raz

W przepastnym archiwum wiadomości znaleziono między innymi raport z prezentacji produktu dla klienta opisanego jako VIKIS, pochodzącego z Wietnamu. Raport ten jest o tyle ciekawy, że opisuje problemy techniczne, na jakie natrafiono w trakcie prezentacji, lecz które udało się ukryć przed klientem. Prezentacja była elementem akceptacji dostarczonego towaru – w przypadku jej niepowodzenia klient mógłby odmówić przyjęcia i zapłaty.

Zaczęło się od infekcji UEFI. Koń trojański Hacking Team potrafi zainfekować UEFI, by przetrwać formatowanie dysku twardego. W trakcie prezentacji prawdopodobnie udało się z sukcesem przeprowadzić infekcję, jednak komputer nie uruchomił się po restarcie. Po drugim restarcie zadziałał, jednak nie widać było, by proces konia trojańskiego wystartował. Jeden ze sprzedawców odwrócił zatem uwagę klienta, a drugi niepostrzeżenie uruchomił konia trojańskiego ręcznie. Brzydka sztuczka, a to dopiero początek.

Całkowicie niewidzialny dla antywirusów. No prawie całkowicie

W archiwum Hacking Team znaleźć można aktualny raport niewidzialności. Jest to dokument opisujący, dla jakich antywirusów Hacking Team gwarantuje niewykrywalność swoich produktów.

Raport niewidzialności

Raport niewidzialności

Aktualny raport z maja tego roku pokazuje, że na platformie Windows 7 w wersji 64-bitowej antywirusy takie jak AVG, Avira, Dr. Web, F-Secure, G Data, Kaspersky, McAfee czy Panda w ogóle nie powinny zauważyć obecności i działalności konia trojańskiego RCS. Z kolei Avast, ESET i Norton w pełnej wersji mogą, według raportu, albo wykrywać elementy wirusa (lecz nie zakłócając jego funkcjonowania) lub wykrywać jego ruch sieciowy. Jak to wygląda w praktyce?

Najlepiej sytuacje opisuje raport z demonstracji u klienta. Okazuje się, że w przypadku złośliwego dokumentu Worda, testowanego z Nortonem, sam eksploit wykonał się prawidłowo, jednak pierwszy element infekcji, tzw. scout, został wykryty przez antywirusa. Jeden ze sprzedawców odwrócił uwagę klienta, podczas kiedy drugi… dodał złośliwy program do listy wyjątków antywirusa, dzięki czemu dalsza infekcja przebiegała prawidłowo. Z produktami takimi jak NOD32, Kaspersky i BitDefender takich problemów nie było. Z kolei na platformie OS X Yosemite z antywirusem AVG w trakcie instalacji konia trojańskiego pojawiło się ostrzeżenie, szybko zamknięte przez sprzedawcę zanim zauważył je klient.

We wszystkich przypadkach prawidłowo zadziałał tzw. moduł kryzysowy konia trojańskiego, blokujący wszelką komunikację w przypadku wykrycia uruchomienia Wiresharka, TCP Viewera czy Process Explorera.

W podsumowaniu raportu sprzedawca pisze, że gdyby nie to, że pojechał na prezentację z kolegą, który odwracał uwagę klienta, prawdopodobnie nie doszłoby do podpisania protokołu odbioru. Pamiętajcie zatem, kupując produkty IT sadzajcie jednego kolegę przed ekranem na którym odbywa się prezentacja z zakazem spuszczania z niego wzroku.

Powrót

Komentarze

  • 2015.07.17 14:13 A

    Na końcu artykułu: http://zawszeczujni.blogspot.com/2015/07/galileo-remote-control-system-analiza.html również wzmianka na ten temat.

    Odpowiedz
  • 2015.07.17 15:03 Big Dog

    Oszuści z Hacking Team wydymali 3-literowych zachłannych na władzę fiutów. To zbrodnia!

    Odpowiedz
  • 2015.07.17 15:29 maslan

    fucking team….

    Odpowiedz
  • 2015.07.17 15:42 bartek

    Z tego wynika, że klientami byli skończeni głupcy.

    Odpowiedz
    • 2015.07.17 21:25 jejbelean

      A czego spodziewać się po siepaczach tępych reżimów, którzy znają tylko jeden sposób na wszystko – przemoc?

      Odpowiedz
      • 2015.07.23 20:21 Leszek

        mieszkam w VN, i nie wiem gdzie jest wiekszy rezim, u nich czy u nas :D

        Odpowiedz
  • 2015.07.17 15:59 krzysiu

    dobry instruktarz jak prezentować swoje produkty klientom

    Odpowiedz
    • 2015.07.17 18:34 fadedprimadonna

      Ależ wszyscy producenci i integratorzy robią dokładnie to samo podczas odbiorów tech.

      Odpowiedz
  • 2015.07.17 18:50 member

    po przeczytaniu arta odniosłem wrażenie, że ESET to nie to samo co NOD32

    Odpowiedz
    • 2015.07.17 20:21 cysorz

      W zasadzie prawidłowy odruch. Nod32 jest częścią „ESET Secure Enterprise” czyli pełnej wersji produktu wspomnianego w artykule

      Odpowiedz
    • 2015.07.18 10:50 ihjolh

      Dobre wrażenie, bo oczywiście że Nod32 i ESS to dwa produkty. Nod32 jest jednym z wielu modułów ESS

      Odpowiedz
  • 2015.07.17 20:59 kkarol

    No dobrze. Artykuł ciekawy. Ale jak znaleźć tego parcha ?

    Odpowiedz
    • 2015.07.20 13:21 Ninja

      Google Detekt.

      Odpowiedz
  • 2015.07.17 21:24 Adam

    „We wszystkich przypadkach prawidłowo zadziałał tzw. moduł kryzysowy konia trojańskiego, blokujący wszelką komunikację w przypadku wykrycia uruchomienia Wiresharka, TCP Viewera czy Process Explorera.”
    Ciekawi mnie, czy to jest lista zamknięta do tych 3. programów, czy KAŻDY soft tego typu będzie aktywował tryb ukryty trojana?

    Odpowiedz
    • 2015.07.18 21:28 grzegorz

      to może być też ciekawa obrona :)
      odpalasz przy starcie systemu process explorera, wiresharka i tcpview i trojan się nie komunikuje :P

      Odpowiedz
    • 2015.07.20 11:25 aqz

      Nie wiem jak to jest w Windowsie, ale każde uruchomienie tcpdumpa na linuxie powoduje przełączenie interfejsu w tryb promiscuous i można taki stan wykryć.

      Odpowiedz
  • 2015.07.17 21:35 Adam

    Z prezentacją toż to jest klasyka. Idź robić interesy z bandytą i dziw się, że zachował się, jak bandyta…

    Odpowiedz
  • 2015.07.19 13:08 kaefpe

    Czy są jakieś skuteczne metody aby przeskanować UEFI i wykryć takiego intruza?

    Odpowiedz
  • 2015.07.19 15:48 piotr34

    Coz-trafila kosa na kamien.Jedni to oszusci a drudzy glupcy-i cale szczescie-pomyslcie o ile gorzej byloby gdyby te osly ze sluzb byly kompetentne.

    Odpowiedz
  • 2015.08.11 12:54 kszh

    Wniosek: Odpalony process Wireshark / Process Explorer sposobem na eventualne uśpienie szpiega.

    Odpowiedz

Zostaw odpowiedź do Adam

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak Hacking Team bezczelnie oszukiwał klientów i które antywirusy go nie wykrywały

Komentarze