Приплыли ребята)

Это еще раз подтверждает, что совершенных программ нет

CEO Hacking Team: «Мы хорошие парни»

После недельного молчания представители Hacking Team наконец решили пообщаться с прессой и прокомментировать недавнюю масштабную утечку данных. CEO компании Давид Винченцетти (David Vincenzetti) дал интервью итальянскому изданию La Stampa, где попытался хоть немного обелить компанию в глазах общественности.

CEO Hacking Team Давид Винченцетти

В интервью Винченцетти заявил, что Hacking Team с 2003 года поставляющая правительствам, спецслужбам и частным компаниям шпионский софт и инструменты для взлома, на самом деле всю дорогу играет на стороне хороших парней. Софт компании использовался «для борьбы с преступностью, которая оперирует на границе правового государства и полного беззакония». Винченцетти рассказал, что компания на протяжении всех этих лет была практически безвредной, не делая ничего дурного.

Интересны и комментарии Винченцетти относительно скользких геополитических подробностей, ставших достоянием общественности из-за утечки. Дело в том, что согласно попавшим в сеть бумагам, Hacking Team сотрудничала, к примеру, с Ливией, Суданом, Эфиопией, Гондурасом и другими странами с тоталитарными режимами, что упорно отрицала все эти годы. Все перечисленные страны, в частности, известны тем, что преследуют, пытают и убивают журналистов, несогласных с политикой правительства. Для чего там могло использоваться ПО Hacking Team, можно только предположить и ужаснуться.

В случае с Суданом, Эфиопией и Ливией Винченцетти признал, что деловые отношения действительно имели место, но с оговорками. Так в случае с Ливией только после того как «мы внезапно стали лучшими друзьями с ливийцами». Египет и Марокко так же являлись клиентами компании, а вот любые сношения с Сирией глава Hacking Team категорически отрицает. В целом, закрывая эту тему, CEO Hacking Team заметил: «Геополитическая картина меняется и развивается очень быстро, возникают самые разные ситуации. Мы не торгуем оружием и не продаем оружие, которое может использоваться годами. Мы — хорошие парни». Дело в том, что ранее уже отмечалось, что Hacking Team контролировала, кто имеет доступ к их технологиям, предназначенным только для правительств и правительственных учреждений.

Относительно самой атаки Винченцетти высказывался осторожно, но заметил, что подобная акция «возможна только на государственном уровне, с применением мощных ресурсов, и явно должна была планироваться месяцами». С этим согласен и директор по маркетингу Hacking Team Эрик Рабе (Eric Rabe), пообщавшийся с изданием ZDNet. Рабе говорил, что атака была «невероятной сложной и ее осуществил явно не простой одиночка из-за какого-нибудь подвала». Словом, оба представителя Hacking Team всячески избегают указывать на кого-то конкретного и разглашать подробности внутреннего расследования.

https://citizenlab.org/2014/06/backd...droid-implant/

Hacking Team использовали руткит для BIOS UEFI для установки Galileo на целевую систему

Специалисты продолжают анализировать документы и файлы итальянской компании Hacking Team, попавшие в открытый доступ. Компания разрабатывала довольно продвинутое шпионское ПО. В частности, в их арсенале обнаружен UEFI BIOS руткит, который сохранял контроль над компьютером для агента Remote Control System (RCS). Например, в случае смены HDD или переустановки ОС агент успешно восстанавливается и продолжает работу. Из этого следует, что даже если пользователь переустановит операционную систему, отформатирует жесткий диск или заменит его новым, Remote Control System все равно будет установлен после запуска Microsoft Windows.

Сотрудники Trend Micro сообщают, что процедура прописана конкретно для Insyde BIOS (популярный BIOS на ноутбуках). Однако код должен работать и на AMI BIOS. В презентации Hacking Team сказано, что для заражения требуется физический доступ к компьютеру и перепрошивка BIOS в ручном режиме, но специалисты Trend Micro не исключают возможность удаленной установки. Hacking Team даже предоставляла своим клиентам техническую поддержку в случаях, если BIOS жертвы не совместим с руткитом.

Во время инсталляции с флешки или другого внешнего источника копируется три файла. Файл dropper.mod содержит действующих агентов, которые называются scout.exe и soldier.exe. После установки руткита он каждый раз при загрузке системы проверяет наличие агентов. Наличие файла soldier.exe тоже проверяется, но он по какой-то причине не перезаписывается заново.

ФБР использовало услуги Hacking Team для деанонимизации пользователя Tor

ФБР США вело переписку с компанией Hacking Team относительно возможности использования разработанных ей инструментов наблюдения для деанонимизации пользователя Tor. Об этом свидетельствует ряд e-mail'ов, содержащихся в архиве Hacking Team, опубликованных в сети. Напомним, в начале этого месяца неизвестные хакеры взломали корпоративную сеть компании и похитили 400 ГБ данных, в том числе корпоративные документы, переписку, финансовую информацию.

Как следует из сообщений, в сентябре прошлого года один из сотрудников ФБР поинтересовался у Hacking Team, сможет ли последняя версия ее системы Remote Control System, также известной как Galileo, отследить одного из пользователей Tor.

«Один из ваших инженеров рассказал нам, что 8 версия разведчика [элемент ПО – прим. ред.] может обнаружить настоящий IP-адрес цели, использующей Tor. Относится ли это к последней версии?», - говорится в электронном письме сотрудника ФБР. Далее агент отметил, что спецслужбе «ничего не известно о цели» помимо ее IP-адреса, который оказался IP-адресом входного узла Tor. Судя по всему, ФБР планировало заставить объект загрузить вредоносный файл на принадлежащий ему компьютер. «Нам будет необходимо отправить ему электронное письмо с прикрепленным PDF-документом для того, чтобы установить разведчика», - отметил спецагент в ходе переписки.

В ответ на сообщение сотрудник Hacking Team написал, что в случае успешного инфицирования (если объект использует TBB (Tor Browser Bundle)), ФБР сможет получить настоящий IP-адрес интересующей цели.

На основе данной переписки сложно сказать о ком именно шла речь и удалось ли ФБР деанонимизировать пользователя. Тем не менее, согласно другому письму одного из сотрудников Hacking Team, спецслужба не против использования Galileo в своем арсенале, хотя применяет его только в ходе несложных расследований. Для более серьезных операций бюро использует другую платформу (ее название не сообщается).

Hacking Team покупала 0-Day эксплоиты у российских хакеров

Среди документов взломанной Hacking Team есть внутренняя переписка компании, в том числе с неким хакером из России, который продавал эксплоиты. Первое письмо с адреса [email protected] датируется 13 октября 2013 года. Оно было кратким. Специалист спрашивает, принимаются ли для продажи эксплоиты к последним версиям Flash Player, Silverlight, Java и Safari. Все эксплоиты успешно проходят самые продвинутые методы защиты вроде ASLR и DEP под Windows, OS X и iOS.

Исполнительный директор Hacking Team с радостью приветствовал нового поставщика и заверил его, что готов рассмотреть предложение. Tovis написал, что у него есть шесть эксплоитов для Windows, OS X и iOS, каждый по цене от $30 тыс. до $45 тыс.

Стороны согласовали график оплаты, обменялись контактной информацией, PGP-ключами — и 29 октября 2013 года итальянская компания получила первый эксплоит для Flash Player и начала тестировать его. В тот же день она ответила, что качество эксплоита великолепное, он отлично сконструирован, легко настраивается, работает быстро и стабильно. Выплату осуществили немедленно: первый из трёх платежей по графику ушёл банковским переводом за «консалтинговые услуги» на счёт ИП, зарегистрированного на Симферопольском бульваре в Москве.

Российский хакер предложил скидки за оптовые заказы: $5000 на второй эксплоит и $10 тыс. на третий. Возможно, именно этот 0-day Flash эксплоит компания Hacking Team использовала для своих программ, которые успешно работали до недавнего времени в правоохранительных структурах многих стран мира.

Комментируя взлом Hacking Team, российский хакер Виталий Топоров сказал: «Конечно, я такого не ожидал, но я не удивлён. Подобные утечки происходят постоянно. Мне даже не интересно, каким образом их взломали». Он также логично заметил, что Hacking Team в прошлые годы демонизировали, поэтому сейчас публика немного разочарована не слишком высоким качеством их программ. Сам он думал, что Hacking Team продаёт программы только в США и странах Евросоюза. Кто мог подумать, что среди клиентов компании окажутся спецслужбы по всему миру, в том числе в России.

Вредоносное Android-приложение Hacking Team прошло все проверки Google Play

Специалисты Trend Micro обнаружили в дампе украденной у Hacking Team информации, поддельное новостное приложение BeNews для платформы Android. Малварь, прикинувшись безобидным новостным ПО, сумела пройти все проверки Google Play и без проблем попала в магазин приложений, хотя Google весной заявляла, что все приложения проверяют не только автоматическую, но и вручную.

Приложение использовало название давно закрытого сайта BeNews, чтобы как можно больше походить на настоящее. Приложение скачали более 50 раз, и оно было удалено из Google Play 7 июля 2015 года.



Специалисты Trend Micro обнаружили в украденных у компании документах не только исходники с бекдором, но и подробные инструкции по использованию приложения для клиентов Hacking Team. В Trend Micro предполагают, что приложение эксплуатировали с целью установки RCSAndroid малвари (за авторством Hacking Team) на Android-устройства намеченных жертв.

BeNews представляло собой бекдор ANDROIDOS_HTBENEWS.A, который может воздействовать на Android начиная с версии 2.2 Froyo и заканчивая версией 4.4.4 KitKat. Бекдор использует уязвимость CVE-2014-3153, позволяющую повышать локальные привилегии.



Изучив приложение внимательнее, в Trend Micro пришли к выводу, что оно сумело обойти запреты Google Play, используя динамическую загрузку. К примеру, в самом приложении не обнаружено ничего похожего на эксплоит, и оно запрашивает у пользователя лишь три безобидных разрешения при установке. Все остальное, нужное для работы, приложение позже подгружало из сети, уже будучи установлено на устройство жертвы, после верификации Google. Интересно, что Hacking Team предоставляли своим клиентам полный сервис и предлагали даже готовый к использованию аккаунт Google Play.



Сама Hacking Team, тем временем, продолжает внутреннее расследование, совместно с правоохранительными органами. Так агентству Reuters стало известно, что прокуратура Милана сейчас допрашивает шестерых бывших сотрудников Hacking Team в связи со случившимся. Впрочем неизвестны ни имена этой шестерки, ни что послужило поводом для допроса.