Od 0daya do pełnej kontroli nad firmą czyli jak włamano się do HackingTeam

dodał 17 kwietnia 2016 o 22:36 w kategorii Info  z tagami:
Od 0daya do pełnej kontroli nad firmą czyli jak włamano się do HackingTeam

Niecały rok temu opisywaliśmy włamanie do producenta złośliwego oprogramowania używanego przez rządy całego świata (w tym CBA). Dzisiaj dowiadujemy się od samego włamywacza jak krok po kroku przeprowadzono udany atak.

15 kwietnia na koncie Twittera używanym przez tajemniczego cyberaktywistę, autora włamań zarówno do GammaGroup jak i do HackingTeam, pojawił się wpis z linkiem do długiego artykułu opisującego szczegóły ataków z lipca 2015.

Opublikowany dokument był napisany w języku hiszpańskim – ponieważ jak sam autor podkreśla wszystko w obszarze bezpieczeństwa publikowane jest po angielsku i czas dostarczyć także materiałów w innych językach. Kilkanaście godzin temu jednak ten sam autor opublikował wersję anglojęzyczną swojej historii. Choć zawiera ona wiele elementów ideologicznych oraz poradnikowych, to nie brakuje także bogato komentowanych aspektów technicznych samego włamania, na których skupimy się poniżej.

Ogłoszenie włamania na serwerze firmy

Ogłoszenie włamania na Twitterze firmy

Błąd typu 0day

Autor włamania zaczyna od opisu swojej infrastruktury. Korzysta z sieci Tor (do której nie łączy się bezpośrednio) oraz dwóch rodzajów serwerów – stałych oraz zhakowanych. Serwery stałe są opłacone przy użyciu bitcoinów i zapewniają funkcje C&C, połączenia zwrotne oraz miejsce do przechowywania łupów. Z kolei serwery zhakowane mają za zadanie ukrycie adresów IP serwerów stałych, służąc głównie jako tunele do połączeń. Autor kupuje także swoje własne domeny dla zapewnienia stabilnej łączności z systemami ofiary (np. przez tunele DNS). Cała infrastruktura użyta do tego włamania została stworzona specjalnie w tym celu, by nie było możliwe skojarzenie jej z innymi włamaniami tego samego autora.

Autor informuje, że po etapie rekonesansu natrafił na problem – firma miała bardzo mało usług dostępnych z sieci publicznej. Niektóre były dodatkowo zabezpieczone – np. portal kliencki wymagał do połączenia certyfikatu po stronie klienta. Dostępna była tylko główna strona WWW bez wyraźnych podatności, serwer pocztowy, kilka ruterów, koncentrator VPN i urządzenie do filtrowania spamu. Mając do wyboru szukanie błędu 0day w Joomli (główne WWW), Postfiksie (serwer poczty) lub pozostałych urządzeniach autor wybrał tę ostatnią opcję. Autor nie wskazuje, gdzie znalazł błąd (twierdzi, że nie jest on do tej pory załatany), lecz Twitter spekuluje, że było to urządzenie SonicWall:

Solidne przygotowanie

Autor wspomina, że zanim przeprowadził atak stworzył swoje własne oprogramowanie wbudowane, którym nadpisał oryginalne oprogramowanie atakowanego urządzenia. Tak przygotowaną tylną furtkę oraz zestaw dodatkowych narzędzi przez tydzień testował w różnych konfiguracjach (w tym na urządzeniach należących do innych firm) by uniknąć sytuacji w której jakiś błąd ostrzeże administratorów HackingTeam.

Po zdobyciu pierwszego przyczółka nasłuchiwał ruchu w sieci ofiary oraz prowadził powolny skan nmapem. Znalazł w ten sposób niezabezpieczone instancje MongoDB, w których przechowywane były dane z testów złośliwego oprogramowania, w tym także nagrania głosów pracowników firmy. Kolejnym znaleziskiem, które pozwoliło na dalszą penetrację sieci były dyski sieciowe Synology. Co prawda wg dokumentacji powinny były znajdować się w wydzielonej sieci, ale dwa z nich były dostępne dla atakującego.

Gdy napastnik podłączył się do zasobów sieciowych udostępnianych przez urządzenia Synology bez potrzeby autoryzacji, znalazł na nich obrazy maszyn wirtualnych, w tym także serwera Exchange. Gdy przeczesał ich zasoby pod kątem haszy haseł zapisanych w rejestrach systemowych, zlokalizował hasło konta lokalnego administratora:

Kolejnym krokiem była zatem sesja meterpretera i zrzut pozostałych haseł:

Aby było śmieszniej, hasło P4ssword należało do firmowego administratora. Dysponując już hasłem domenowego administratora atakujący postanowił najpierw pobrać zawartość serwera pocztowego. Pomógł w tym Powershell. Gdy ta operacja się powiodła kolejnym łupem padły dyski sieciowe.

Serce firmy

Lektura wykradzionej dokumentacji sieci pokazała, że atakujący ciągle nie dostał się do wydzielonego kawałka infrastruktury, w którym znajdował się kod źródłowy jej produktów. Włamywacz zainstalował keyloggery na komputerach obu firmowych administratorów i przeczesał ich pliki. Na komputerze jednego z nich znalazł kontener Truecrypta, poczekał, aż zostanie on odblokowany i skopiował jego zawartość. Wśród zdobytych w ten sposób plików było hasło administratora serwera Nagiosa, który monitorował wydzieloną sieć. Wystarczył już tylko publicznie znany exploit na Nagiosa i atakujący dostał się do kodów źródłowych. W ostatnim kroku, czyli logowaniu do serwera Gita, wystarczył fakt, że jeden z administratorów użył tam takiego samego hasła jak wcześniej znane już włamywaczowi.

Podsumowanie

Tak oto, jeśli wierzyć autorowi, jeden wystarczająco silnie zmotywowany i dostatecznie utalentowany włamywacz wykradł wszystkie dane firmy zajmującej się włamywaniem do cudzych komputerów. Na koniec warto zauważyć, że autor włamania wyśmiewa także technologię reklamowaną przez HackingTeam jako umożliwiająca namierzanie przestępców działających w sieci Tor. Jak podkreśla – fakt, że pozostaje na wolności, mówi sam za siebie.