Właśnie usunąłem Flasha, słysząc co się dzieje. Ostrzegł mnie Maciek Kawiak, znany bloger, ale także świetny informatyk. Okazuje się, że polskie służby korzystają z metod zakazanych przez prawo, takich jak hacking, czyli cybernetyczny terroryzm. Nigdy byśmy się o tym nie dowiedzieli, gdyby … hackerzy nie dokonali włamania do serwerów firmy hackerskiej. Wczoraj przeprowadziłem krótką rozmowę z Maćkiem:
„Mogłem przesadzić z tym przeniknięciem do jądra może chodzi o wniknięcie do systemu.
Jestem użytkownikiem linux’ów – nie instalatorem.
Poniżej kilka ciekawszych fragmentów publikacji Niebezpiecznika i innych portali na ten temat.
Twórcy rządowego oprogramowania szpiegującego zostali zhakowani
Stare porzekadło głosi, że kto mieczem wojuje, od miecza ginie. Powiedzenie to idealnie pasuje do sytuacji, w jakiej właśnie znalazła się włoska firma Hacking Team, specjalizująca się w produkcji rządowego oprogramowania szpiegującego. Serwery zespołu zostały przejęte przez nieznanych hakerów, a w sieci pojawiły się informacje na temat trojanów i państw, które korzystały z ich usług.
Włamywacze wrzucili do sieci paczkę 400 GB plików, w których znajdziemy e-maile, kod źródłowy stworzonych trojanów, a także listę klientów włoskiej firmy. Z możliwości rządowego oprogramowania szpiegującego korzystały takie kraje, jak Maroko, Etiopia, Zjednoczone Emiraty Arabskie, a także Polska.
Jak podaje portal Niebezpiecznik, który zagłębił się w dokumenty, z usług Hacking Team korzystało Centralne Biuro Antykorupcyjne. Polskie służby zakupiły oprogramowanie szpiegujące, które posiada ważną licencję do dnia 31 lipca 2015 roku.
Obecnie nie wiadomo, w jaki sposób Hacking Team padł ofiarą – nomen omen – hakerów. Włamywacze przejęli m.in. konto na Twitterze, gdzie udostępnili linki do paczek z danymi. Obecnie jednak wpisy cyberprzestępców są kasowane przez administrację portalu.
CBA wydało 250 000 EUR na oprogramowanie szpiegowskie do inwigilacji smartphonów
Twórca sprzedawanego wielu rządom oprogramowania szpiegującego, włoska firma Hacking Team, została potężnie zhackowana.
Włamywacze opublikowali w internecie 400GB danych, w tym e-maile i kod źródłowy oraz listę klientów. Jest na niej Polska (o czym informowaliśmy już rok temu). Ciekawe, czy teraz wyjdzie na jaw, która z polskich instytucji kupiła oprogramowanie Hacking Teamu…
EDIT: Już wyszło na jaw, chodzi o CBA. Oto wpis z pliku licencji:
EU Poland Central Anticorruption Bureau 7/31/2015 ActiveM (link)
Agencja wydała na licencje na trojana prawie 200 000 EUR. W wykradzionych z serwerów Hacking Team danych znajdują się faktury, które dokumentują sprzedaż.
Jak widać, CBA kupiło system RCS za 178k EUR w 2012 roku, wydając następnie co roku dodatkowe 30k+ na support (do dnia dzisiejszego na trojana wydano w sumie ok. 250 000 EUR). RCS-a opisywaliśmy rok temu — w skrócie; narzędzie to służy do inwigilacji komputerów oraz smartphonów i bazuje na standardowych (znanych) exploitach w przeważającej większości, choć sprzedawane są też (za dodatkową opłatą) exploity 0day.
Swoją drogą, jaka jest podstawa prawna do wykorzystywania tego typu narzędzi przez polskie służby? Kogo mogą nim infekować?
Archiwum danych jest obecnie analizowane pod kątem różnych smaczków. Jesteśmy pewni, że jeszcze napiszemy o ciekawostkach związanych z Hacking Teamem (obecnie zwanym “Hacked Teamem”). Póki co polecamy lekturę ich (zarządzanego przez włamywaczy) konta na Twitterze.
Na chwilę obecną nie wiadomo w jaki sposób włamywaczom udało się całkowicie przejąć infrastrukturę Hacking Teamu, ale lista plików z udostępnionego torrenta pokazuje, że skopiowano zawartość całej sieci wewnętrznej i wszystkich serwerów, łącznie z repozytorium kodu. (…)
…a wyciek to nie koniec problemów. W oprogramowaniu szpiegowskim już znajdowane są pierwsze błędy bezpieczeństwa: (…) oraz naganne etycznie wstawki w kodzie, które — jak sugeruje jedna z teorii — służyły podstawianiu na komputerach ofiar fałszywych wpisów świadczących o pobieraniu dziecięcej pornografii (być może po to, aby była podstawa do zajęcia sprzętu):
- więcej: http://niebezpiecznik.pl/post/hacking-team-hacked/ – PRZECZYTAJ CAŁOŚĆ, BO CIEKAWE
WikiLeaks zagląda za kulisy kontraktów CBA: Biuro kupiło specjalny program do szpiegowania Polaków
Jak zaznacza „Gazeta Polska Codziennie”, CBA zakupiło program szpiegujący najwyższej jakości Remote Control System (RCS) od włoskiej firmy. Nazywany jest również „Da Vinci. Za jego pomocą można nawet szpiegować zakodowane kanały komunikacji, chociażby Skype, bezpieczne skrzynki e-mail. To, co może szokować, to fakt, że RCS pozwala nawet na śledzenie przeglądanych stron internetowych, otwieranych programów czy…. uderzeń w klawiaturę!
Czy polskie służby korzystają z włoskiego trojana tworzonego specjalnie dla agencji rządowych?
Remote Control System (RCS) autorstwa włoskiego Hacking Teamu, to wyrafinowany trojan sprzedawany wyłącznie instytucjom rządowym. Z takiego rozwiązania korzysta jedna z polskich służb — a przynajmniej taką hipotezę stawia raport badaczy z citizenlab.org, którzy od lat monitorują działania Hacking Teamu i tworzą listę ich klientów. Polska właśnie wskoczyła na tę listę. Ale dowody nie są zbyt silne.
Trojan stworzony specjalnie dla służb
Remote Control System to flagowy produkt firmy Hacking Team, który przeznaczony dla agencji i służb rządowych, a służy do zdalnego wydobywania wrażliwych oraz istotnych danych dla “potrzeb rządowych”. RCS potrafi m.in.:
- nagrywać rozmowy Skype,
- przechwytywać i gromadzić korespondencję mailową,
- przechwycić hasła i loginy wpisywane w przeglądarce internetowej,
- podglądać obraz video (np. z kamerki) albo podsłuchiwać audio (z mikrofonu),
- zdobyte dane skopiować na dysk i przetrzymywać na komputerze ofiary,
Dane, które zbiera RCS są w bardzo interesujący sposób wyprowadzane z zainfekowanych komputerów. RCS stosuje technikę “proxy-chaining” oraz sieć TOR, co pozwala mu wyprowadzić dane z komputera ofiary do serwera kontrolowanego przez instytucję rządową w sposób “zaciemniony”. Sieć serwerów proxy utrudnia znacząco namierzenie skąd pochodzą i dokąd kierowane są wykradzione dane. Przykładowo, informacje które docelowo mają dotrzeć do Meksyku, przechodzą najpierw przez cztery serwery proxy w różnych krajach: (…)
Jak dochodzi do infekcji?
Z raportu wynika, że posiadacze RCS-u infekowali swoje ofiary wykorzystując podatności w popularnym oprogramowaniu klienckim (np. Microsoft Word). Ofiara otrzymuje e-maila z załącznikiem-exploitem lub, jak było to w przypadku Panamy, kierowana jest na Twittera, gdzie w treści wpisu zamieszczano odnośnik do zainfekowanego pliku .jad (aplikacji BlackBerry). Dodatkowo badacze doszukują się powiązań HackingTeamu z francuską firmą VUPEN, która zajmuje się tworzeniem exploitów 0day, a następnie sprzedaje swoim klientom (m. in. agencjom rządowym).
Polski wątek — czy na pewno prawdziwy?
Pomimo tego, że HackingTeam reklamuje system RCS jako “niemożliwy do namierzenia“, to autorom raportu udało się zlokalizować aktualnych bądź byłych klientów — 21 agencji/służb pochodzących z Azerbejdżanu, Kolumbii, Egiptu, Etiopii, Węgier, Włoch, Kazachstanu, Korei, Malezji, Meksyku, Maroko, Nigerii, Omanu, Panamy, Polski (!!!), Arabii Saudyjskiej, Sudanu, Tajlandii, Turcji, Zjednoczonych Emiratów Arabskich oraz Uzbekistanu.
Polska na tle wyżej wymienionych krajów wygląda co najmniej ciekawie — 9 z “towarzyszących nam państw” posiada bardzo niski wskaźnik w rankingu dotyczącym oceny poszanowania demokracji… Ale to nie pierwsze zastrzeżenia do obecności Polski na ww. liście.
Jakie dowody przemawiają za wykorzystywaniem RCS-a przez nasze służby? Tylko i wyłącznie fingerprinting hostów, do których dostarczane były dane z zainfekowanych maszyn — badacze zbudowali unikatowe sygnatury serwerów C&C RCS-a, a następnie przeszukali pod ich kątem internet, a raczej gotowe bazy, m.in. projetków takich jak Shodan. I wyszło im na to, że w poniższej klasie adresowej, znajdują się serwery RCS:
Adres IP 95.49.xxx.xxx
Kraj Poland
Pierwsze użycie: 8/10/2012
Ostatnie użycie: aktywny
Literki “x” wpisane w adresie IP są efektem tego, iż zaobserwowano bardzo dużą liczbę adresów IP z tej puli, co wskazywać może np. na zmienne IP. Adresy te należą do Orange (dawnego TPSA).
Czyżby któraś z służb miała C&C na neostradzie? A może służba innego kraju korzysta z łącz naszego operatora (niektórzy sugerują ambasady)? A może ktoś się tunelował przez Polskę (operacja “pod fałszywą flagą”). Dodatkowo nazwy przechwyconych przez badaczy exploitów nie wydają się mieć wiele wspólnego z Polską.
Tak czy inaczej, Polska będzie miała swojego rządowego/wojskowego “trojana”
Być może RCS rzeczywiście jest wykorzystywany jest przez którąś z polskich służb. Być może to on był wzorem dla “Projektu 29″, czyli tajnego wojskowego wirusa, który przez pomyłkę w jawny sposób zamawiało Ministerstwo Obrony Narodowej? (link)
Niezależnie od powyższego, warto przypomnieć że “rządowe trojany” to nic nowego — już kilka lat temu opisywaliśmy trojana FinFisher, którego oficjalnie wykorzystują niemieckie służby do inwigilacji swoich obywateli.