17.04.2016 | 22:36

Adam Haertle

Od 0daya do pełnej kontroli nad firmą czyli jak włamano się do HackingTeam

Niecały rok temu opisywaliśmy włamanie do producenta złośliwego oprogramowania używanego przez rządy całego świata (w tym CBA). Dzisiaj dowiadujemy się od samego włamywacza jak krok po kroku przeprowadzono udany atak.

15 kwietnia na koncie Twittera używanym przez tajemniczego cyberaktywistę, autora włamań zarówno do GammaGroup jak i do HackingTeam, pojawił się wpis z linkiem do długiego artykułu opisującego szczegóły ataków z lipca 2015.

Opublikowany dokument był napisany w języku hiszpańskim – ponieważ jak sam autor podkreśla wszystko w obszarze bezpieczeństwa publikowane jest po angielsku i czas dostarczyć także materiałów w innych językach. Kilkanaście godzin temu jednak ten sam autor opublikował wersję anglojęzyczną swojej historii. Choć zawiera ona wiele elementów ideologicznych oraz poradnikowych, to nie brakuje także bogato komentowanych aspektów technicznych samego włamania, na których skupimy się poniżej.

Ogłoszenie włamania na serwerze firmy

Ogłoszenie włamania na Twitterze firmy

Błąd typu 0day

Autor włamania zaczyna od opisu swojej infrastruktury. Korzysta z sieci Tor (do której nie łączy się bezpośrednio) oraz dwóch rodzajów serwerów – stałych oraz zhakowanych. Serwery stałe są opłacone przy użyciu bitcoinów i zapewniają funkcje C&C, połączenia zwrotne oraz miejsce do przechowywania łupów. Z kolei serwery zhakowane mają za zadanie ukrycie adresów IP serwerów stałych, służąc głównie jako tunele do połączeń. Autor kupuje także swoje własne domeny dla zapewnienia stabilnej łączności z systemami ofiary (np. przez tunele DNS). Cała infrastruktura użyta do tego włamania została stworzona specjalnie w tym celu, by nie było możliwe skojarzenie jej z innymi włamaniami tego samego autora.

Autor informuje, że po etapie rekonesansu natrafił na problem – firma miała bardzo mało usług dostępnych z sieci publicznej. Niektóre były dodatkowo zabezpieczone – np. portal kliencki wymagał do połączenia certyfikatu po stronie klienta. Dostępna była tylko główna strona WWW bez wyraźnych podatności, serwer pocztowy, kilka ruterów, koncentrator VPN i urządzenie do filtrowania spamu. Mając do wyboru szukanie błędu 0day w Joomli (główne WWW), Postfiksie (serwer poczty) lub pozostałych urządzeniach autor wybrał tę ostatnią opcję. Autor nie wskazuje, gdzie znalazł błąd (twierdzi, że nie jest on do tej pory załatany), lecz Twitter spekuluje, że było to urządzenie SonicWall:

Solidne przygotowanie

Autor wspomina, że zanim przeprowadził atak stworzył swoje własne oprogramowanie wbudowane, którym nadpisał oryginalne oprogramowanie atakowanego urządzenia. Tak przygotowaną tylną furtkę oraz zestaw dodatkowych narzędzi przez tydzień testował w różnych konfiguracjach (w tym na urządzeniach należących do innych firm) by uniknąć sytuacji w której jakiś błąd ostrzeże administratorów HackingTeam.

Po zdobyciu pierwszego przyczółka nasłuchiwał ruchu w sieci ofiary oraz prowadził powolny skan nmapem. Znalazł w ten sposób niezabezpieczone instancje MongoDB, w których przechowywane były dane z testów złośliwego oprogramowania, w tym także nagrania głosów pracowników firmy. Kolejnym znaleziskiem, które pozwoliło na dalszą penetrację sieci były dyski sieciowe Synology. Co prawda wg dokumentacji powinny były znajdować się w wydzielonej sieci, ale dwa z nich były dostępne dla atakującego.

Gdy napastnik podłączył się do zasobów sieciowych udostępnianych przez urządzenia Synology bez potrzeby autoryzacji, znalazł na nich obrazy maszyn wirtualnych, w tym także serwera Exchange. Gdy przeczesał ich zasoby pod kątem haszy haseł zapisanych w rejestrach systemowych, zlokalizował hasło konta lokalnego administratora:

besadmin:bes32678!!!

Kolejnym krokiem była zatem sesja meterpretera i zrzut pozostałych haseł:

HACKINGTEAM  BESAdmin       bes32678!!!
HACKINGTEAM  Administrator  uu8dd8ndd12!
HACKINGTEAM  c.pozzi        P4ssword     
HACKINGTEAM  m.romeo        ioLK/(90
HACKINGTEAM  l.guerra       4luc@=.=
HACKINGTEAM  d.martinez     W4tudul3sp
HACKINGTEAM  g.russo        GCBr0s0705!
HACKINGTEAM  a.scarafile    Cd4432996111
HACKINGTEAM  r.viscardi     Ht2015!
HACKINGTEAM  a.mino         A!e$$andra
HACKINGTEAM  m.bettini      Ettore&Bella0314
HACKINGTEAM  m.luppi        Blackou7
HACKINGTEAM  s.gallucci     1S9i8m4o!
HACKINGTEAM  d.milan        set!dob66
HACKINGTEAM  w.furlan       Blu3.B3rry!
HACKINGTEAM  d.romualdi     Rd13136f@#
HACKINGTEAM  l.invernizzi   L0r3nz0123!
HACKINGTEAM  e.ciceri       2O2571&2E
HACKINGTEAM  e.rabe         erab@4HT!

Aby było śmieszniej, hasło P4ssword należało do firmowego administratora. Dysponując już hasłem domenowego administratora atakujący postanowił najpierw pobrać zawartość serwera pocztowego. Pomógł w tym Powershell. Gdy ta operacja się powiodła kolejnym łupem padły dyski sieciowe.

Serce firmy

Lektura wykradzionej dokumentacji sieci pokazała, że atakujący ciągle nie dostał się do wydzielonego kawałka infrastruktury, w którym znajdował się kod źródłowy jej produktów. Włamywacz zainstalował keyloggery na komputerach obu firmowych administratorów i przeczesał ich pliki. Na komputerze jednego z nich znalazł kontener Truecrypta, poczekał, aż zostanie on odblokowany i skopiował jego zawartość. Wśród zdobytych w ten sposób plików było hasło administratora serwera Nagiosa, który monitorował wydzieloną sieć. Wystarczył już tylko publicznie znany exploit na Nagiosa i atakujący dostał się do kodów źródłowych. W ostatnim kroku, czyli logowaniu do serwera Gita, wystarczył fakt, że jeden z administratorów użył tam takiego samego hasła jak wcześniej znane już włamywaczowi.

Podsumowanie

Tak oto, jeśli wierzyć autorowi, jeden wystarczająco silnie zmotywowany i dostatecznie utalentowany włamywacz wykradł wszystkie dane firmy zajmującej się włamywaniem do cudzych komputerów. Na koniec warto zauważyć, że autor włamania wyśmiewa także technologię reklamowaną przez HackingTeam jako umożliwiająca namierzanie przestępców działających w sieci Tor. Jak podkreśla – fakt, że pozostaje na wolności, mówi sam za siebie.

Powrót

Komentarze

  • 2016.04.17 23:04 Grzegorz

    Chciałbym się od niego uczyć..

    Odpowiedz
  • 2016.04.18 00:39 Filip

    Wniosek jest taki, ze uzywanie fancy-hasel jest bez sensu ;)

    Odpowiedz
  • 2016.04.18 06:34 Adul

    Jestem w stanie zrozumieć 0day.
    Jestem w stanie zrozumieć podpięcie urządzeń do sieci nieprzeznaczonej do tego.
    Zabezpieczenie systemów dzisiaj na wszystkich możliwych „płaszczyznach” graniczy dzisiaj z cudem.

    …Nie jestem w stanie zrozumieć P4ssword.

    Odpowiedz
  • 2016.04.18 08:36 On

    Jaki to publicznie znany exploit na nagiosa?

    Odpowiedz
  • 2016.04.18 09:03 R

    No i to jest hack, a nie podmianka wordpressa.

    Odpowiedz
    • 2016.04.20 14:02 Łooo

      Chciałbym chociaż to potrafić ;)

      Odpowiedz
  • 2016.04.18 10:50 Marcin

    http://pastebin.com/raw/0SNSvyjJ ? Jak znajdywać takie teksty na pastebin?

    Zastanawia mnie jak np. skontaktować się z takim gościem? W ogóle da się?

    Odpowiedz
    • 2016.04.18 10:59 Adam

      Można np. napisać do niego na Twitterze. A jak zaimportujesz jego klucz PGP to zobaczysz adres email.

      Odpowiedz
      • 2016.04.18 12:33 Marcin

        OK, a jak w ogóle wyszukiwac takich gości?

        Odpowiedz
        • 2016.04.19 11:31 Daniel

          Zapytaj policji.

          Odpowiedz
        • 2016.04.19 16:03 jeszczewiecejhyziadyziaizyzia

          mialem glupio nie komentowac ale nie moge sie powstrzymac

          „Osiedlowe akcje co chcesz o nich wiedzieć
          Trzeba być z nami robić to żeby wiedzieć”

          http://www.tekstowo.pl/piosenka,molesta,osiedlowe_akcje.html (chyba sie robie stary pierdziel).

          w bardziej konstruktywnej czesci komentarza polecam po prostu aby robic swoje, tj. uczyc sie, czytac i pisac kod. reszta samo przyjdzie. jak nie przychodzi patrz punkt pierwszy i tak do while true.

          Odpowiedz
        • 2016.04.19 19:22 kez87

          Nie mam pewności,bo nie próbowałem,ale chyba najlepiej byłoby być wartym bycia znalezionym przez nich…

          Odpowiedz
        • 2016.04.19 19:45 kez87

          A po co ? Jak nie jesteś na ich poziomie to za wiele ci nie powiedzą i nie będą specjalnie sobie tobą d… zawracać. Poza tym tacy ludzie są często ścigani – czy to przez państwową czy to przez inną mafie i wcale nie chcą być znajdowani przez każdego jednego takiego Marcina – bo jak on go znajdzie to te mafie tym bardziej.

          Odpowiedz
  • 2016.04.18 11:33 Cyrk

    Opowieść z serii dobre przygotowanie to 3/4 sukcesu + pozostałe 1/4 to arogancja adminów myślących, że jak są adminami to P4ssword wystarczy, bo przecież elektryka prąd nie tyka…

    Odpowiedz
    • 2016.04.18 12:38 DzieńZero

      Co racja to racja ja zawsze się przygotowuje przez 3/4 do włączenia nessusa a przez 1/4 skanuje !

      Odpowiedz
      • 2016.04.19 23:31 Cyrk

        Script kiddie…

        Odpowiedz
  • 2016.04.18 12:58 qki

    Ale pikuś jakiś P4ssword! Dużo gorzej, że np: jeden z administratorów użył tam takiego samego hasła jak wcześniej znane już włamywaczowi”. Użytkownicy nagminnie używają tych samych haseł do autoryzacji różnych zasobów.

    Odpowiedz
  • 2016.04.18 13:33 pr0.3l0

    znacie więcej takich h4xorskich opisów włamań? czytałbym

    Odpowiedz
  • 2016.04.18 14:48 wytrzeszcz

    nie widzę, a było by spoko jak byście mieli zebrane w jedno miejsce takie historie.

    Odpowiedz
    • 2016.04.19 16:35 Imię

      #hackstorybro

      Odpowiedz
  • 2016.04.18 20:49 robo

    Dobry hacker to taki o którym wszyscy słyszeli, a bardzo dobry to taki o którym nikt nic nie wie :)

    Odpowiedz

Zostaw odpowiedź do Filip

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Od 0daya do pełnej kontroli nad firmą czyli jak włamano się do HackingTeam

Komentarze