Wśród informacji wykradzionych z firmy Hacking Team znalazły się szczegóły dotyczące akcji CBA. Wśród nich dokument Worda używany do infekowania ofiar, adres IP serwera, adres email zbierający logi i inne dane.
Z serwerów firmy Hacking Team, sprzedającej konie trojańskie, wyciekło ponad 400GB informacji. Wśród nich znalazła się także treść zgłoszeń serwisowych przesyłanych przez klientów firmy – w tym także CBA. Znaleźć w nich można ciekawe fragmenty.
Dane usunięte – lecz nie do końca
Setki tzw. ticketów, czyli zgłoszeń serwisowych oraz powiązanej z nimi korespondencji wymienianych przez CBA z dostawcą oprogramowania pokazuje z jakimi problemami technicznymi borykali się funkcjonariusze próbujący uruchomić i wykorzystać zakupione systemy. A to serwer aplikacji nie widział bazy danych, a to przychodziły setki tysięcy alertów naraz, a to połączenie SSL nie mogło być nawiązane – dla każdego administratora to codzienność.
CBA dbało o bezpieczeństwo operacji. Odmawiało podawania dostawcy adresów IP swoich serwerów, z oburzeniem reagowało na propozycję zestawienia sesji TeamViewera do serwera sterującego a funkcjonariusz wysyłający zrzuty ekranów, logi oraz opisy błędów bardzo starał się usunąć z korespondencji wszystkie poufne informacje. Miał jednak trudne zadanie – przy presji czasu i dziesiątkach plików łatwo o pomyłkę. Do tego wsparcie ze strony Hacking Team nie szyfrowało korespondencji ani załączników, pozostawiając w nich czasem istotne informacje.
Rewolucja śmieciowa
Gdy funkcjonariusz CBA miał problem ze stworzeniem dokumentu z eksploitem, z pomocą przyszedł pracownik Hacking Team, który w oparciu o dostarczony dokument źródłowy spreparował odpowiedni plik DOCX. Plik pod nazwą rewolucja_smieciowa.docx został dostarczony w archiwum, by, jak tłumaczył pracownik wsparcia, wypakowany z archiwum przez ofiarę nie miał atrybutu pobranego z internetu – dzięki czemu Word użyje niższego poziomu zabezpieczeń.
Dokument infekujący koniem trojańskim
Dokument Worda zawierał kod pobierający z zewnętrznego serwera plik SWF. Ścieżka do pliku to
http://91.222.36.233/documents/zz7w6hvq/1v4x6b3y7u6o.swf
Serwer 91.222.36.233 często występuje w korespondencji Hacking Team i opisany jest jako VPS per sploiti. Taka konfiguracja ataku oznacza, że sam eksploit nie był przekazywany klientom, a uruchamiany z dedykowanego serwera Hacking Team i przesyłany tylko na komputery ofiar.
Gmail dobry na wszystko
Jak już wspominaliśmy, funkcjonariusz CBA z większości logów usunął adresy email, na które system podsłuchowy wysłał powiadomienia o poszczególnych wydarzeniach, jednak raz najwyraźniej ominął jedną linijkę. W trakcie rozwiązywania problemów z przesyłaniem poczty elektronicznej załączył log, w którym znalazł się wpis
2013-07-18 10:34:14 +0200 [INFO]: Sending alert mail to: [email protected]
Inne wpisy również potwierdzają, że alerty wysyłane były na konta w domenie gmail.com. To bardzo ciekawe, że polskie organy ścigania korzystają ze skrzynek amerykańskiego dostawcy do zbierania informacji o swoich najtajniejszych akcjach. Naprawdę tak trudno postawić swój własny serwer? Do tego w korespondencji znajduje się także informacja o koncie Skype funkcjonariusza CBA z sugestią, by kontynuować rozmowę już na żywo.
Serwery w Holandii, proxy w Neostradzie
Korespondencja zawiera także fragmentaryczne informacje o wykorzystywanej infrastrukturze serwerowej. Na szczęście CBA przynajmniej nie korzystało z serwerów dostarczanych przez Hacking Team, tylko wynajmowało swoje. Nieocenzurowany zrzut ekranu panelu sterowania systemu wskazuje na adres IP 164.138.28.81 znajdujący się w Holandii (serwer ten znajduje się na liście opublikowanej w zeszłym roku przez Citizen Lab).
Adres IP serwera
Z kolei stare logi bazodanowe wskazują na Neostradę:
2012-08-01 11:22:25 +0200 [WARN]: User [364b40fd4c5ecf7321bd6e0e63056efe:2012080101:95.49.162.66] NOT FOUND
Na użycie Neostrady wskazuje także fragment systemowej wiadomości email:
Return-Path: <[email protected]> Received: from localhost (afgx191.neoplus.adsl.tpnet.pl. [X.X.X.X]) by mx.google.com with ESMTPSA id ci50sm17363369eeb.12.2013.07.18.01.34.17 for <[email protected]> (version=TLSv1.2 cipher=ECDHE-RSA-RC4-SHA bits=128/128); Thu, 18 Jul 2013 01:34:17 -0700 (PDT) Received: from DBServ (ServDB [127.0.0.1]) by localhost ; Thu, 18 Jul 2013 10:34:15 +0200 Message-ID: <74880D2B-DDB9-4344-9E06-5C973FC17797@localhost> From: RCS Alert <[email protected]> To: [email protected] Subject: RCS Alert [monitor] OK Date: Thu, 18 Jul 2013 01:34:17 -0700 (PDT) The component 'RCS::ANON::2' is now active
Co ciekawe, to właśnie w sieci Neostrady znaleziono w lutym zeszłego roku serwery Hacking Team.
Logi bazodanowe wskazują także na hash hasła roota:
"user" : "root", "pwd" : "290b2a820a84b6b76eb982ecd5a8a66f",
Hash ten pojawia się w Google tylko raz i został przez kogoś dodany pod koniec maja tego roku – to interesujący zbieg okoliczności.
Podsumowanie
Mimo widocznej chęci zachowania poufności informacji widać, że CBA nie do końca sobie z tym zadaniem poradziło. Korzystając z usług włoskiego dostawcy mniej lub bardziej nieświadomie przekazało mu istotne informacje dotyczące prowadzonych akcji na terenie Polski. Do tego do ich obsługi wykorzystywało serwery z Holandii, skrzynki pocztowe od Google oraz usługi Skype – bez wątpienia było to rozwiązanie wygodne, ale czy z punktu widzenia ochrony informacji najlepsze?
Komentarze
Ciekawe czy to ten dokument :D
http://www.um-monki.pl/doc/2013/2/4/rewolucja_smieciowa.docx
Za jakiś czas pewnie będzie do sprawdzenia na VirusTotal :) a może już jest…
Tak, dokładnie ten…
Bardzo dobry art, Adamie.
„skrzynki pocztowe od Google oraz usługi Skype – bez wątpienia było to rozwiązanie wygodne, ale czy z punktu widzenia ochrony informacji najlepsze?” – raczej najgorsze ;)
Nie wiem czy to Adam puści..Ale generalnie łatwo można (bez exploita;) stworzyć doca, który pokaże adres IP otwierającego (już możecie więc śledzić kto otwiera Wasze CV): http://sekurak.pl/sledzenie-otwierania-dokumentow-ms-office/
Czy otwierając taki plik (i podobne) w libre office lub open office to jesteśmy bezpieczni?
Sprawdź sam.
Zainstaluj Wiresharka, odpal ten plik w OO/LO, obserwuj połączenia.
…najlepiej na jakimś LiveCD i/lub z zablokowaną komunikacją poza DNS.
Kody w pliku docx? Wybaczcie moją niewiedzę, ale nie było tak, że format docx został stworzony właśnie po to, żeby nie zawierał w sobie żadnych makr?
Chyba, że wykonywalne kody były zawarte nie w VBA (boję się otwierać wskazany plik, żeby sprawdzić samemu).
DOCX to nowszy DOC. Oba mogą mieć makra, ale nowszy Word ma funkcję wstępnego blokowania makr dla plików pobranych z Internetu. Dlaczego ochrona nie zadziałała, opisuje artykuł.
To nie do końca prawda. Formaty *.docx, *.pptx czy *.xlsx to formaty „macro-free” i kolega nocoty ma rację. Makra zapisywane są w plikach *.docm, *.pptm, *.xlsm (gdzie „m” oznacza właśnie macro). Jeśli będziesz próbował zapisać makro w pliku np. *.xlsx, to wyskoczy coś takiego:
„The following cannot be saved in a macro-free document.
To save a file with these features, click No to return to the Save As dialog, and then choose a macro-enabled file type in the File Type drop-down.” (mam angielskiego Office’a)
Jeśli zignorujesz ten komunikat i zapiszesz makro w pliku *.xlsx, to makro zostanie z niego usunięte.
Gmail dobry na wszystko
Co do tego akapitu. Wiadomo czy wysyłane maile/załączniki były szyfrowane? Bo jeśli były szyfrowane jakimś kluczem publicznym gpg/pgp to informacje byłyby częściowo chronione (oprócz metadanych).
W tekście jest próbka, nie była szyfrowana.
Mala paczka
https://mega.co.nz/#F!5YVWRDBb!nsghWe6lN4DSRedB2FsVUQ
Według mnie to baza danych CBA jest tak duża ze „zgubienie” tych paru adresów nie gra roli a mogło byc w tej sprawie drugie dno. Mianowicie – „zgubimy adresy” niech sie inni pobawią Czytaj: wsadzimy kij w mrowisko, a które mrówki wylezą pierwsze są nasze. Nie martwcie się to była jednorazowa akcja i te serwery , skrzynki i inne to było lewe wszystko i użyte do jednorazowej akcji. A że ta sie trochę przeciągnęła to inna sprawa. ale kilku hakerów sie załapało „na wpis” i to drugi plus tej akcji. Nie uciekniecie maja wasze dane :))
A ja myślę, że na prawdę funkcjonariusze CBA mają problemy z takimi rzeczami jak stworzenie dokumentu z eksploitem i przy okazji ujawniają swoje dane, zwłaszcza, że używanie RCS nie jest drogą
usłaną różami, jak czytaliśmy w jednym z poprzednich wpisów.
Spójrzmy prawdzie w oczy, nie mamy do czynienia z wysoko wykwalifikowanymi i wysoko opłacanymi specjalistami, bo tacy nie pracują w budżetówce, tylko z użytkownikami produktu, często przypadkowymi osobami na niskich pensjach, które po prostu robią co mogą.
Panowie co ten email robi w hacking team?
Niezła baza adresowa.
https://wikileaks.org/hackingteam/emails/emailid/361617
Bo jednym z adresatów maila był [email protected]
O w mor.e! CO za palant wysłał taką listę „Do:” ?
co zorbic jak sie otworzylo ten plik? ;/
Jeśli ktoś wiąż jest zainteresowany tematem, zapraszamy także na naszą analizę narzędzia Remote Contron System:
http://zawszeczujni.blogspot.com/2015/07/galileo-remote-control-system-analiza.html
Co to jest .docx?
http://forensicswiki.org/wiki/Word_Document_%28DOCX%29
Spakowany pakiet zip składający się z plików .xml i innych wynalazków.
Plik ze strony:
https://wikileaks.org/hackingteam/emails/emailid/341782
można bezpiecznie otworzyć!
Po prostu dodajemy do nazwy pliku rozszerzenie .zip i rozpakowujemy.
Różnica pomiędzy plikiem oryginalnym:
http://www.um-monki.pl/doc/2013/2/4/rewolucja_smieciowa.docx
a zhakowanym, w istotnej części polega na dodaniu w katalogu word podkatalogu
activeX zawierającego plik activeX1.bin w którym są podejrzane odwołania np.:
http://91.222.36.233/documents/zz7w6hvq/1v4x6b3y7u6o.swf