Wyciekły dokumenty, którymi CBA infekowało swoje ofiary oraz inne szczegóły ataku

dodał 10 lipca 2015 o 12:00 w kategorii Prawo, Prywatność, Wpadki  z tagami:
Wyciekły dokumenty, którymi CBA infekowało swoje ofiary oraz inne szczegóły ataku

Wśród informacji wykradzionych z firmy Hacking Team znalazły się szczegóły dotyczące akcji CBA. Wśród nich dokument Worda używany do infekowania ofiar, adres IP serwera, adres email zbierający logi i inne dane.

Z serwerów firmy Hacking Team, sprzedającej konie trojańskie, wyciekło ponad 400GB informacji. Wśród nich znalazła się także treść zgłoszeń serwisowych przesyłanych przez klientów firmy – w tym także CBA. Znaleźć w nich można ciekawe fragmenty.

Dane usunięte – lecz nie do końca

Setki tzw. ticketów, czyli zgłoszeń serwisowych oraz powiązanej z nimi korespondencji wymienianych przez CBA z dostawcą oprogramowania pokazuje z jakimi problemami technicznymi borykali się funkcjonariusze próbujący uruchomić i wykorzystać zakupione systemy. A to serwer aplikacji nie widział bazy danych, a to przychodziły setki tysięcy alertów naraz, a to połączenie SSL nie mogło być nawiązane – dla każdego administratora to codzienność.

CBA dbało o bezpieczeństwo operacji. Odmawiało podawania dostawcy adresów IP swoich serwerów, z oburzeniem reagowało na propozycję zestawienia sesji TeamViewera do serwera sterującego a funkcjonariusz wysyłający zrzuty ekranów, logi oraz opisy błędów bardzo starał się usunąć z korespondencji wszystkie poufne informacje. Miał jednak trudne zadanie – przy presji czasu i dziesiątkach plików łatwo o pomyłkę. Do tego wsparcie ze strony Hacking Team nie szyfrowało korespondencji ani załączników, pozostawiając w nich czasem istotne informacje.

Rewolucja śmieciowa

Gdy funkcjonariusz CBA miał problem ze stworzeniem dokumentu z eksploitem, z pomocą przyszedł pracownik Hacking Team, który w oparciu o dostarczony dokument źródłowy spreparował odpowiedni plik DOCX. Plik pod nazwą rewolucja_smieciowa.docx został dostarczony w archiwum, by, jak tłumaczył pracownik wsparcia, wypakowany z archiwum przez ofiarę nie miał atrybutu pobranego z internetu – dzięki czemu Word użyje niższego poziomu zabezpieczeń.

Dokument infekujący koniem trojańskim

Dokument infekujący koniem trojańskim

Dokument Worda zawierał kod pobierający z zewnętrznego serwera plik SWF. Ścieżka do pliku to

Serwer 91.222.36.233 często występuje w korespondencji Hacking Team i opisany jest jako VPS per sploiti. Taka konfiguracja ataku oznacza, że sam eksploit nie był przekazywany klientom, a uruchamiany z dedykowanego serwera Hacking Team i przesyłany tylko na komputery ofiar.

Gmail dobry na wszystko

Jak już wspominaliśmy, funkcjonariusz CBA z większości logów usunął adresy email, na które system podsłuchowy wysłał powiadomienia o poszczególnych wydarzeniach, jednak raz najwyraźniej ominął jedną linijkę. W trakcie rozwiązywania problemów z przesyłaniem poczty elektronicznej załączył log, w którym znalazł się wpis

Inne wpisy również potwierdzają, że alerty wysyłane były na konta w domenie gmail.com. To bardzo ciekawe, że polskie organy ścigania korzystają ze skrzynek amerykańskiego dostawcy do zbierania informacji o swoich najtajniejszych akcjach. Naprawdę tak trudno postawić swój własny serwer? Do tego w korespondencji znajduje się także informacja o koncie Skype funkcjonariusza CBA z sugestią, by kontynuować rozmowę już na żywo.

Serwery w Holandii, proxy w Neostradzie

Korespondencja zawiera także fragmentaryczne informacje o wykorzystywanej infrastrukturze serwerowej. Na szczęście CBA przynajmniej nie korzystało z serwerów dostarczanych przez Hacking Team, tylko wynajmowało swoje. Nieocenzurowany zrzut ekranu panelu sterowania systemu wskazuje na adres IP 164.138.28.81 znajdujący się w Holandii (serwer ten znajduje się na liście opublikowanej w zeszłym roku przez Citizen Lab).

Adres IP serwera

Adres IP serwera

Z kolei stare logi bazodanowe wskazują na Neostradę:

Na użycie Neostrady wskazuje także fragment systemowej wiadomości email:

Co ciekawe, to właśnie w sieci Neostrady znaleziono w lutym zeszłego roku serwery Hacking Team.

Logi bazodanowe wskazują także na hash hasła roota:

Hash ten pojawia się w Google tylko raz i został przez kogoś dodany pod koniec maja tego roku – to interesujący zbieg okoliczności.

Podsumowanie

Mimo widocznej chęci zachowania poufności informacji widać, że CBA nie do końca sobie z tym zadaniem poradziło. Korzystając z usług włoskiego dostawcy mniej lub bardziej nieświadomie przekazało mu istotne informacje dotyczące prowadzonych akcji na terenie Polski. Do tego do ich obsługi wykorzystywało serwery z Holandii, skrzynki pocztowe od Google oraz usługi Skype – bez wątpienia było to rozwiązanie wygodne, ale czy z punktu widzenia ochrony informacji najlepsze?