Niecały rok temu opisywaliśmy włamanie do producenta złośliwego oprogramowania używanego przez rządy całego świata (w tym CBA). Dzisiaj dowiadujemy się od samego włamywacza jak krok po kroku przeprowadzono udany atak.
15 kwietnia na koncie Twittera używanym przez tajemniczego cyberaktywistę, autora włamań zarówno do GammaGroup jak i do HackingTeam, pojawił się wpis z linkiem do długiego artykułu opisującego szczegóły ataków z lipca 2015.
https://twitter.com/GammaGroupPR/status/721085460932636673
Opublikowany dokument był napisany w języku hiszpańskim – ponieważ jak sam autor podkreśla wszystko w obszarze bezpieczeństwa publikowane jest po angielsku i czas dostarczyć także materiałów w innych językach. Kilkanaście godzin temu jednak ten sam autor opublikował wersję anglojęzyczną swojej historii. Choć zawiera ona wiele elementów ideologicznych oraz poradnikowych, to nie brakuje także bogato komentowanych aspektów technicznych samego włamania, na których skupimy się poniżej.
Ogłoszenie włamania na Twitterze firmy
Błąd typu 0day
Autor włamania zaczyna od opisu swojej infrastruktury. Korzysta z sieci Tor (do której nie łączy się bezpośrednio) oraz dwóch rodzajów serwerów – stałych oraz zhakowanych. Serwery stałe są opłacone przy użyciu bitcoinów i zapewniają funkcje C&C, połączenia zwrotne oraz miejsce do przechowywania łupów. Z kolei serwery zhakowane mają za zadanie ukrycie adresów IP serwerów stałych, służąc głównie jako tunele do połączeń. Autor kupuje także swoje własne domeny dla zapewnienia stabilnej łączności z systemami ofiary (np. przez tunele DNS). Cała infrastruktura użyta do tego włamania została stworzona specjalnie w tym celu, by nie było możliwe skojarzenie jej z innymi włamaniami tego samego autora.
Autor informuje, że po etapie rekonesansu natrafił na problem – firma miała bardzo mało usług dostępnych z sieci publicznej. Niektóre były dodatkowo zabezpieczone – np. portal kliencki wymagał do połączenia certyfikatu po stronie klienta. Dostępna była tylko główna strona WWW bez wyraźnych podatności, serwer pocztowy, kilka ruterów, koncentrator VPN i urządzenie do filtrowania spamu. Mając do wyboru szukanie błędu 0day w Joomli (główne WWW), Postfiksie (serwer poczty) lub pozostałych urządzeniach autor wybrał tę ostatnią opcję. Autor nie wskazuje, gdzie znalazł błąd (twierdzi, że nie jest on do tej pory załatany), lecz Twitter spekuluje, że było to urządzenie SonicWall:
https://twitter.com/k_sOSe/status/721280517618999297
Solidne przygotowanie
Autor wspomina, że zanim przeprowadził atak stworzył swoje własne oprogramowanie wbudowane, którym nadpisał oryginalne oprogramowanie atakowanego urządzenia. Tak przygotowaną tylną furtkę oraz zestaw dodatkowych narzędzi przez tydzień testował w różnych konfiguracjach (w tym na urządzeniach należących do innych firm) by uniknąć sytuacji w której jakiś błąd ostrzeże administratorów HackingTeam.
Po zdobyciu pierwszego przyczółka nasłuchiwał ruchu w sieci ofiary oraz prowadził powolny skan nmapem. Znalazł w ten sposób niezabezpieczone instancje MongoDB, w których przechowywane były dane z testów złośliwego oprogramowania, w tym także nagrania głosów pracowników firmy. Kolejnym znaleziskiem, które pozwoliło na dalszą penetrację sieci były dyski sieciowe Synology. Co prawda wg dokumentacji powinny były znajdować się w wydzielonej sieci, ale dwa z nich były dostępne dla atakującego.
Gdy napastnik podłączył się do zasobów sieciowych udostępnianych przez urządzenia Synology bez potrzeby autoryzacji, znalazł na nich obrazy maszyn wirtualnych, w tym także serwera Exchange. Gdy przeczesał ich zasoby pod kątem haszy haseł zapisanych w rejestrach systemowych, zlokalizował hasło konta lokalnego administratora:
besadmin:bes32678!!!
Kolejnym krokiem była zatem sesja meterpretera i zrzut pozostałych haseł:
HACKINGTEAM BESAdmin bes32678!!! HACKINGTEAM Administrator uu8dd8ndd12! HACKINGTEAM c.pozzi P4ssword HACKINGTEAM m.romeo ioLK/(90 HACKINGTEAM l.guerra 4luc@=.= HACKINGTEAM d.martinez W4tudul3sp HACKINGTEAM g.russo GCBr0s0705! HACKINGTEAM a.scarafile Cd4432996111 HACKINGTEAM r.viscardi Ht2015! HACKINGTEAM a.mino A!e$$andra HACKINGTEAM m.bettini Ettore&Bella0314 HACKINGTEAM m.luppi Blackou7 HACKINGTEAM s.gallucci 1S9i8m4o! HACKINGTEAM d.milan set!dob66 HACKINGTEAM w.furlan Blu3.B3rry! HACKINGTEAM d.romualdi Rd13136f@# HACKINGTEAM l.invernizzi L0r3nz0123! HACKINGTEAM e.ciceri 2O2571&2E HACKINGTEAM e.rabe erab@4HT!
Aby było śmieszniej, hasło P4ssword należało do firmowego administratora. Dysponując już hasłem domenowego administratora atakujący postanowił najpierw pobrać zawartość serwera pocztowego. Pomógł w tym Powershell. Gdy ta operacja się powiodła kolejnym łupem padły dyski sieciowe.
Serce firmy
Lektura wykradzionej dokumentacji sieci pokazała, że atakujący ciągle nie dostał się do wydzielonego kawałka infrastruktury, w którym znajdował się kod źródłowy jej produktów. Włamywacz zainstalował keyloggery na komputerach obu firmowych administratorów i przeczesał ich pliki. Na komputerze jednego z nich znalazł kontener Truecrypta, poczekał, aż zostanie on odblokowany i skopiował jego zawartość. Wśród zdobytych w ten sposób plików było hasło administratora serwera Nagiosa, który monitorował wydzieloną sieć. Wystarczył już tylko publicznie znany exploit na Nagiosa i atakujący dostał się do kodów źródłowych. W ostatnim kroku, czyli logowaniu do serwera Gita, wystarczył fakt, że jeden z administratorów użył tam takiego samego hasła jak wcześniej znane już włamywaczowi.
Podsumowanie
Tak oto, jeśli wierzyć autorowi, jeden wystarczająco silnie zmotywowany i dostatecznie utalentowany włamywacz wykradł wszystkie dane firmy zajmującej się włamywaniem do cudzych komputerów. Na koniec warto zauważyć, że autor włamania wyśmiewa także technologię reklamowaną przez HackingTeam jako umożliwiająca namierzanie przestępców działających w sieci Tor. Jak podkreśla – fakt, że pozostaje na wolności, mówi sam za siebie.
Komentarze
Chciałbym się od niego uczyć..
Wniosek jest taki, ze uzywanie fancy-hasel jest bez sensu ;)
https://xkcd.com/936/
https://www.schneier.com/blog/archives/2014/03/choosing_secure_1.html – schemat z xkcd jest dość słaby
Głupie używanie fancy haseł jest bez sensu.
Jestem w stanie zrozumieć 0day.
Jestem w stanie zrozumieć podpięcie urządzeń do sieci nieprzeznaczonej do tego.
Zabezpieczenie systemów dzisiaj na wszystkich możliwych „płaszczyznach” graniczy dzisiaj z cudem.
…Nie jestem w stanie zrozumieć P4ssword.
Jaki to publicznie znany exploit na nagiosa?
W oryginalnym tekście link wskazuje na http://seclists.org/fulldisclosure/2014/Oct/78
No i to jest hack, a nie podmianka wordpressa.
Chciałbym chociaż to potrafić ;)
http://pastebin.com/raw/0SNSvyjJ ? Jak znajdywać takie teksty na pastebin?
Zastanawia mnie jak np. skontaktować się z takim gościem? W ogóle da się?
Można np. napisać do niego na Twitterze. A jak zaimportujesz jego klucz PGP to zobaczysz adres email.
OK, a jak w ogóle wyszukiwac takich gości?
Zapytaj policji.
mialem glupio nie komentowac ale nie moge sie powstrzymac
„Osiedlowe akcje co chcesz o nich wiedzieć
Trzeba być z nami robić to żeby wiedzieć”
http://www.tekstowo.pl/piosenka,molesta,osiedlowe_akcje.html (chyba sie robie stary pierdziel).
w bardziej konstruktywnej czesci komentarza polecam po prostu aby robic swoje, tj. uczyc sie, czytac i pisac kod. reszta samo przyjdzie. jak nie przychodzi patrz punkt pierwszy i tak do while true.
Nie mam pewności,bo nie próbowałem,ale chyba najlepiej byłoby być wartym bycia znalezionym przez nich…
A po co ? Jak nie jesteś na ich poziomie to za wiele ci nie powiedzą i nie będą specjalnie sobie tobą d… zawracać. Poza tym tacy ludzie są często ścigani – czy to przez państwową czy to przez inną mafie i wcale nie chcą być znajdowani przez każdego jednego takiego Marcina – bo jak on go znajdzie to te mafie tym bardziej.
Opowieść z serii dobre przygotowanie to 3/4 sukcesu + pozostałe 1/4 to arogancja adminów myślących, że jak są adminami to P4ssword wystarczy, bo przecież elektryka prąd nie tyka…
Co racja to racja ja zawsze się przygotowuje przez 3/4 do włączenia nessusa a przez 1/4 skanuje !
Script kiddie…
Expert ITC !
Ale pikuś jakiś P4ssword! Dużo gorzej, że np: jeden z administratorów użył tam takiego samego hasła jak wcześniej znane już włamywaczowi”. Użytkownicy nagminnie używają tych samych haseł do autoryzacji różnych zasobów.
znacie więcej takich h4xorskich opisów włamań? czytałbym
el0 chlopaku… obczaj el8, zf0 i niesmiertelny phrack. Na markinesie – http://web.textfiles.com/ezines/EL8/el8.3.txt, ascii znajome? 5na zi0m
nie widzę, a było by spoko jak byście mieli zebrane w jedno miejsce takie historie.
#hackstorybro
Dobry hacker to taki o którym wszyscy słyszeli, a bardzo dobry to taki o którym nikt nic nie wie :)