Wśród informacji wykradzionych z firmy Hacking Team znalazły się szczegóły dotyczące akcji CBA. Wśród nich dokument Worda używany do infekowania ofiar, adres IP serwera, adres email zbierający logi i inne dane.
Z serwerów firmy Hacking Team, sprzedającej konie trojańskie, wyciekło ponad 400GB informacji. Wśród nich znalazła się także treść zgłoszeń serwisowych przesyłanych przez klientów firmy – w tym także CBA. Znaleźć w nich można ciekawe fragmenty.
Dane usunięte – lecz nie do końca
Setki tzw. ticketów, czyli zgłoszeń serwisowych oraz powiązanej z nimi korespondencji wymienianych przez CBA z dostawcą oprogramowania pokazuje z jakimi problemami technicznymi borykali się funkcjonariusze próbujący uruchomić i wykorzystać zakupione systemy. A to serwer aplikacji nie widział bazy danych, a to przychodziły setki tysięcy alertów naraz, a to połączenie SSL nie mogło być nawiązane – dla każdego administratora to codzienność.
CBA dbało o bezpieczeństwo operacji. Odmawiało podawania dostawcy adresów IP swoich serwerów, z oburzeniem reagowało na propozycję zestawienia sesji TeamViewera do serwera sterującego a funkcjonariusz wysyłający zrzuty ekranów, logi oraz opisy błędów bardzo starał się usunąć z korespondencji wszystkie poufne informacje. Miał jednak trudne zadanie – przy presji czasu i dziesiątkach plików łatwo o pomyłkę. Do tego wsparcie ze strony Hacking Team nie szyfrowało korespondencji ani załączników, pozostawiając w nich czasem istotne informacje.
Rewolucja śmieciowa
Gdy funkcjonariusz CBA miał problem ze stworzeniem dokumentu z eksploitem, z pomocą przyszedł pracownik Hacking Team, który w oparciu o dostarczony dokument źródłowy spreparował odpowiedni plik DOCX. Plik pod nazwą rewolucja_smieciowa.docx został dostarczony w archiwum, by, jak tłumaczył pracownik wsparcia, wypakowany z archiwum przez ofiarę nie miał atrybutu pobranego z internetu – dzięki czemu Word użyje niższego poziomu zabezpieczeń.
Dokument infekujący koniem trojańskim
Dokument infekujący koniem trojańskim
Dokument Worda zawierał kod pobierający z zewnętrznego serwera plik SWF. Ścieżka do pliku to
Zaloguj lub Zarejestruj się aby zobaczyć!
Serwer 91.222.36.233 często występuje w korespondencji Hacking Team i opisany jest jako VPS per sploiti. Taka konfiguracja ataku oznacza, że sam eksploit nie był przekazywany klientom, a uruchamiany z dedykowanego serwera Hacking Team i przesyłany tylko na komputery ofiar.
Gmail dobry na wszystko
Jak już wspominaliśmy, funkcjonariusz CBA z większości logów usunął adresy email, na które system podsłuchowy wysłał powiadomienia o poszczególnych wydarzeniach, jednak raz najwyraźniej ominął jedną linijkę. W trakcie rozwiązywania problemów z przesyłaniem poczty elektronicznej załączył log, w którym znalazł się wpis
Zaloguj lub Zarejestruj się aby zobaczyć!
Inne wpisy również potwierdzają, że alerty wysyłane były na konta w domenie gmail.com. To bardzo ciekawe, że polskie organy ścigania korzystają ze skrzynek amerykańskiego dostawcy do zbierania informacji o swoich najtajniejszych akcjach. Naprawdę tak trudno postawić swój własny serwer? Do tego w korespondencji znajduje się także informacja o koncie Skype funkcjonariusza CBA z sugestią, by kontynuować rozmowę już na żywo.
Serwery w Holandii, proxy w Neostradzie
Korespondencja zawiera także fragmentaryczne informacje o wykorzystywanej infrastrukturze serwerowej. Na szczęście CBA przynajmniej nie korzystało z serwerów dostarczanych przez Hacking Team, tylko wynajmowało swoje. Nieocenzurowany zrzut ekranu panelu sterowania systemu wskazuje na adres IP 164.138.28.81 znajdujący się w Holandii (serwer ten znajduje się na liście opublikowanej w zeszłym roku przez Citizen Lab).
Adres IP serwera
Adres IP serwera
Z kolei stare logi bazodanowe wskazują na Neostradę:
Zaloguj lub Zarejestruj się aby zobaczyć!
Na użycie Neostrady wskazuje także fragment systemowej wiadomości email:
Zaloguj lub Zarejestruj się aby zobaczyć!
Co ciekawe, to właśnie w sieci Neostrady znaleziono w lutym zeszłego roku serwery Hacking Team.
Logi bazodanowe wskazują także na hash hasła roota:
Zaloguj lub Zarejestruj się aby zobaczyć!
Hash ten pojawia się w Google tylko raz i został przez kogoś dodany pod koniec maja tego roku – to interesujący zbieg okoliczności.
Podsumowanie
Mimo widocznej chęci zachowania poufności informacji widać, że CBA nie do końca sobie z tym zadaniem poradziło. Korzystając z usług włoskiego dostawcy mniej lub bardziej nieświadomie przekazało mu istotne informacje dotyczące prowadzonych akcji na terenie Polski. Do tego do ich obsługi wykorzystywało serwery z Holandii, skrzynki pocztowe od Google oraz usługi Skype – bez wątpienia było to rozwiązanie wygodne, ale czy z punktu widzenia ochrony informacji najlepsze?
info:zaufanatrzeciastrona
Zaloguj
lub
Zarejestruj się
aby zobaczyć!