10.07.2015 | 12:00

Adam Haertle

Wyciekły dokumenty, którymi CBA infekowało swoje ofiary oraz inne szczegóły ataku

Wśród informacji wykradzionych z firmy Hacking Team znalazły się szczegóły dotyczące akcji CBA. Wśród nich dokument Worda używany do infekowania ofiar, adres IP serwera, adres email zbierający logi i inne dane.

Z serwerów firmy Hacking Team, sprzedającej konie trojańskie, wyciekło ponad 400GB informacji. Wśród nich znalazła się także treść zgłoszeń serwisowych przesyłanych przez klientów firmy – w tym także CBA. Znaleźć w nich można ciekawe fragmenty.

Dane usunięte – lecz nie do końca

Setki tzw. ticketów, czyli zgłoszeń serwisowych oraz powiązanej z nimi korespondencji wymienianych przez CBA z dostawcą oprogramowania pokazuje z jakimi problemami technicznymi borykali się funkcjonariusze próbujący uruchomić i wykorzystać zakupione systemy. A to serwer aplikacji nie widział bazy danych, a to przychodziły setki tysięcy alertów naraz, a to połączenie SSL nie mogło być nawiązane – dla każdego administratora to codzienność.

CBA dbało o bezpieczeństwo operacji. Odmawiało podawania dostawcy adresów IP swoich serwerów, z oburzeniem reagowało na propozycję zestawienia sesji TeamViewera do serwera sterującego a funkcjonariusz wysyłający zrzuty ekranów, logi oraz opisy błędów bardzo starał się usunąć z korespondencji wszystkie poufne informacje. Miał jednak trudne zadanie – przy presji czasu i dziesiątkach plików łatwo o pomyłkę. Do tego wsparcie ze strony Hacking Team nie szyfrowało korespondencji ani załączników, pozostawiając w nich czasem istotne informacje.

Rewolucja śmieciowa

Gdy funkcjonariusz CBA miał problem ze stworzeniem dokumentu z eksploitem, z pomocą przyszedł pracownik Hacking Team, który w oparciu o dostarczony dokument źródłowy spreparował odpowiedni plik DOCX. Plik pod nazwą rewolucja_smieciowa.docx został dostarczony w archiwum, by, jak tłumaczył pracownik wsparcia, wypakowany z archiwum przez ofiarę nie miał atrybutu pobranego z internetu – dzięki czemu Word użyje niższego poziomu zabezpieczeń.

Dokument infekujący koniem trojańskim

Dokument infekujący koniem trojańskim

Dokument Worda zawierał kod pobierający z zewnętrznego serwera plik SWF. Ścieżka do pliku to

http://91.222.36.233/documents/zz7w6hvq/1v4x6b3y7u6o.swf

Serwer 91.222.36.233 często występuje w korespondencji Hacking Team i opisany jest jako VPS per sploiti. Taka konfiguracja ataku oznacza, że sam eksploit nie był przekazywany klientom, a uruchamiany z dedykowanego serwera Hacking Team i przesyłany tylko na komputery ofiar.

Gmail dobry na wszystko

Jak już wspominaliśmy, funkcjonariusz CBA z większości logów usunął adresy email, na które system podsłuchowy wysłał powiadomienia o poszczególnych wydarzeniach, jednak raz najwyraźniej ominął jedną linijkę. W trakcie rozwiązywania problemów z przesyłaniem poczty elektronicznej załączył log, w którym znalazł się wpis

2013-07-18 10:34:14 +0200 [INFO]: Sending alert mail to: [email protected]

Inne wpisy również potwierdzają, że alerty wysyłane były na konta w domenie gmail.com. To bardzo ciekawe, że polskie organy ścigania korzystają ze skrzynek amerykańskiego dostawcy do zbierania informacji o swoich najtajniejszych akcjach. Naprawdę tak trudno postawić swój własny serwer? Do tego w korespondencji znajduje się także informacja o koncie Skype funkcjonariusza CBA z sugestią, by kontynuować rozmowę już na żywo.

Serwery w Holandii, proxy w Neostradzie

Korespondencja zawiera także fragmentaryczne informacje o wykorzystywanej infrastrukturze serwerowej. Na szczęście CBA przynajmniej nie korzystało z serwerów dostarczanych przez Hacking Team, tylko wynajmowało swoje. Nieocenzurowany zrzut ekranu panelu sterowania systemu wskazuje na adres IP 164.138.28.81 znajdujący się w Holandii (serwer ten znajduje się na liście opublikowanej w zeszłym roku przez Citizen Lab).

Adres IP serwera

Adres IP serwera

Z kolei stare logi bazodanowe wskazują na Neostradę:

2012-08-01 11:22:25 +0200 [WARN]:  User [364b40fd4c5ecf7321bd6e0e63056efe:2012080101:95.49.162.66] NOT FOUND

Na użycie Neostrady wskazuje także fragment systemowej wiadomości email:

Return-Path: <[email protected]>
Received: from localhost (afgx191.neoplus.adsl.tpnet.pl. [X.X.X.X]) by mx.google.com with ESMTPSA id ci50sm17363369eeb.12.2013.07.18.01.34.17 for <[email protected]>  (version=TLSv1.2 cipher=ECDHE-RSA-RC4-SHA bits=128/128); Thu, 18 Jul 2013 01:34:17 -0700 (PDT)
Received: from DBServ (ServDB [127.0.0.1]) by localhost ; Thu, 18 Jul 2013 10:34:15 +0200
Message-ID: <74880D2B-DDB9-4344-9E06-5C973FC17797@localhost>
From: RCS Alert <[email protected]>
To: [email protected]
Subject: RCS Alert [monitor] OK
Date: Thu, 18 Jul 2013 01:34:17 -0700 (PDT)
The component 'RCS::ANON::2' is now active

Co ciekawe, to właśnie w sieci Neostrady znaleziono w lutym zeszłego roku serwery Hacking Team.

Logi bazodanowe wskazują także na hash hasła roota:

"user" : "root",
"pwd" : "290b2a820a84b6b76eb982ecd5a8a66f",

Hash ten pojawia się w Google tylko raz i został przez kogoś dodany pod koniec maja tego roku – to interesujący zbieg okoliczności.

Podsumowanie

Mimo widocznej chęci zachowania poufności informacji widać, że CBA nie do końca sobie z tym zadaniem poradziło. Korzystając z usług włoskiego dostawcy mniej lub bardziej nieświadomie przekazało mu istotne informacje dotyczące prowadzonych akcji na terenie Polski. Do tego do ich obsługi wykorzystywało serwery z Holandii, skrzynki pocztowe od Google oraz usługi Skype – bez wątpienia było to rozwiązanie wygodne, ale czy z punktu widzenia ochrony informacji najlepsze?

Powrót

Komentarze

  • 2015.07.10 12:26 dzaczek Odpowiedz
    • 2015.07.10 13:18 Kamil

      Za jakiś czas pewnie będzie do sprawdzenia na VirusTotal :) a może już jest…

      Odpowiedz
    • 2015.07.10 14:02 Yura

      Tak, dokładnie ten…

      Odpowiedz
  • 2015.07.10 13:51 Adam

    Bardzo dobry art, Adamie.

    Odpowiedz
  • 2015.07.10 14:59 Feliks

    „skrzynki pocztowe od Google oraz usługi Skype – bez wątpienia było to rozwiązanie wygodne, ale czy z punktu widzenia ochrony informacji najlepsze?” – raczej najgorsze ;)

    Odpowiedz
  • 2015.07.10 15:29 sekurak

    Nie wiem czy to Adam puści..Ale generalnie łatwo można (bez exploita;) stworzyć doca, który pokaże adres IP otwierającego (już możecie więc śledzić kto otwiera Wasze CV): http://sekurak.pl/sledzenie-otwierania-dokumentow-ms-office/

    Odpowiedz
  • 2015.07.10 17:12 aua

    Czy otwierając taki plik (i podobne) w libre office lub open office to jesteśmy bezpieczni?

    Odpowiedz
    • 2015.07.10 20:16 Duży Pies

      Sprawdź sam.
      Zainstaluj Wiresharka, odpal ten plik w OO/LO, obserwuj połączenia.

      Odpowiedz
      • 2015.07.12 12:10 Adam

        …najlepiej na jakimś LiveCD i/lub z zablokowaną komunikacją poza DNS.

        Odpowiedz
  • 2015.07.11 11:10 nocoty

    Kody w pliku docx? Wybaczcie moją niewiedzę, ale nie było tak, że format docx został stworzony właśnie po to, żeby nie zawierał w sobie żadnych makr?
    Chyba, że wykonywalne kody były zawarte nie w VBA (boję się otwierać wskazany plik, żeby sprawdzić samemu).

    Odpowiedz
    • 2015.07.12 12:07 Adam

      DOCX to nowszy DOC. Oba mogą mieć makra, ale nowszy Word ma funkcję wstępnego blokowania makr dla plików pobranych z Internetu. Dlaczego ochrona nie zadziałała, opisuje artykuł.

      Odpowiedz
      • 2015.07.14 09:29 Ninja

        To nie do końca prawda. Formaty *.docx, *.pptx czy *.xlsx to formaty „macro-free” i kolega nocoty ma rację. Makra zapisywane są w plikach *.docm, *.pptm, *.xlsm (gdzie „m” oznacza właśnie macro). Jeśli będziesz próbował zapisać makro w pliku np. *.xlsx, to wyskoczy coś takiego:

        „The following cannot be saved in a macro-free document.
        To save a file with these features, click No to return to the Save As dialog, and then choose a macro-enabled file type in the File Type drop-down.” (mam angielskiego Office’a)

        Jeśli zignorujesz ten komunikat i zapiszesz makro w pliku *.xlsx, to makro zostanie z niego usunięte.

        Odpowiedz
  • 2015.07.11 12:46 Michał

    Gmail dobry na wszystko
    Co do tego akapitu. Wiadomo czy wysyłane maile/załączniki były szyfrowane? Bo jeśli były szyfrowane jakimś kluczem publicznym gpg/pgp to informacje byłyby częściowo chronione (oprócz metadanych).

    Odpowiedz
    • 2015.07.11 15:32 Adam

      W tekście jest próbka, nie była szyfrowana.

      Odpowiedz
  • 2015.07.12 07:00 Radiowiec 2

    Według mnie to baza danych CBA jest tak duża ze „zgubienie” tych paru adresów nie gra roli a mogło byc w tej sprawie drugie dno. Mianowicie – „zgubimy adresy” niech sie inni pobawią Czytaj: wsadzimy kij w mrowisko, a które mrówki wylezą pierwsze są nasze. Nie martwcie się to była jednorazowa akcja i te serwery , skrzynki i inne to było lewe wszystko i użyte do jednorazowej akcji. A że ta sie trochę przeciągnęła to inna sprawa. ale kilku hakerów sie załapało „na wpis” i to drugi plus tej akcji. Nie uciekniecie maja wasze dane :))

    Odpowiedz
    • 2015.07.13 09:35 Raf

      A ja myślę, że na prawdę funkcjonariusze CBA mają problemy z takimi rzeczami jak stworzenie dokumentu z eksploitem i przy okazji ujawniają swoje dane, zwłaszcza, że używanie RCS nie jest drogą
      usłaną różami, jak czytaliśmy w jednym z poprzednich wpisów.

      Spójrzmy prawdzie w oczy, nie mamy do czynienia z wysoko wykwalifikowanymi i wysoko opłacanymi specjalistami, bo tacy nie pracują w budżetówce, tylko z użytkownikami produktu, często przypadkowymi osobami na niskich pensjach, które po prostu robią co mogą.

      Odpowiedz
  • 2015.07.13 07:47 Karol

    Panowie co ten email robi w hacking team?
    Niezła baza adresowa.
    https://wikileaks.org/hackingteam/emails/emailid/361617

    Odpowiedz
  • 2015.07.14 16:59 mr dex

    co zorbic jak sie otworzylo ten plik? ;/

    Odpowiedz
  • 2015.07.15 00:46 zawszeczujni.blogspot.com

    Jeśli ktoś wiąż jest zainteresowany tematem, zapraszamy także na naszą analizę narzędzia Remote Contron System:

    http://zawszeczujni.blogspot.com/2015/07/galileo-remote-control-system-analiza.html

    Odpowiedz
  • 2015.07.28 00:27 Markov

    Co to jest .docx?
    http://forensicswiki.org/wiki/Word_Document_%28DOCX%29
    Spakowany pakiet zip składający się z plików .xml i innych wynalazków.

    Plik ze strony:
    https://wikileaks.org/hackingteam/emails/emailid/341782
    można bezpiecznie otworzyć!
    Po prostu dodajemy do nazwy pliku rozszerzenie .zip i rozpakowujemy.

    Różnica pomiędzy plikiem oryginalnym:
    http://www.um-monki.pl/doc/2013/2/4/rewolucja_smieciowa.docx
    a zhakowanym, w istotnej części polega na dodaniu w katalogu word podkatalogu
    activeX zawierającego plik activeX1.bin w którym są podejrzane odwołania np.:
    http://91.222.36.233/documents/zz7w6hvq/1v4x6b3y7u6o.swf

    Odpowiedz

Zostaw odpowiedź do Feliks

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Wyciekły dokumenty, którymi CBA infekowało swoje ofiary oraz inne szczegóły ataku

Komentarze