Крупнейшая утечка со времён Сноудена: взлом Hacking Team

Итальянская компания Hacking Team, разрабатывающая по заказу правоохранительных органов и правительственных организаций технологии программной слежки, в минувшие выходные обнаружила взлом своих баз данных. Суммарный объём утечки оценивается в 400 ГБ. Добычей стали в том числе пароли от сайта компании и учётные данные её членов с различных веб-сервисов, включая социальные сети. 

Неизвестные выложили в сети множество конфиденциальных документов о заказах на средства шпионажа, исходный код программ и переписку с клиентами по электронной почте.

Суммарный объём утечки оценивается в 400 ГБ. Добычей стали в том числе пароли от сайта компании и учётные данные её членов с различных веб-сервисов, включая социальные сети. Поэтому Hacking Team столкнулась с угоном аккаунтов в Twitter, дефейсом корпоративного сайта, заменой биографий, публикацией конфиденциальных изображений и другими проблемами, которые до прошлого воскресения она создавала другим.

Переписка с координатором из Судана (изображение: csoonline.com).

К примеру, разработанный в Hacking Team руткит Da Vinci внедрялся через неизвестные уязвимости в Adobe Flash Player на компьютеры политических активистов на Ближнем Востоке. Он перехватывал сообщения из популярных мессенджеров, делал копии разговоров через Skype и другие VoIP-сервисы, а также позволял удалённо включать веб-камеру на заражённом ноутбуке.

Узаконенные средства перехвата данных, широко продаваемые Hacking Team спецслужбам разных стран, неоднократно становились причиной исков от правозащитных организаций. Теперь последние испытывают лёгкое замешательство из-за смены ролей. Впервые Hacking Team выступает в качестве потерпевшей стороны. Вор у вора дубинку украл и в суд подал, но в силу цифровой природы пропажа оказалась легко тиражируемой, поэтому её возврат уже не вернёт прежнему владельцу утраченную репутацию.

Переписка Hacking Team стала общественным достоянием (изображение: inquisitr.com).

Основным каналом распространения украденных данных стали торрент-трекеры. Анализ файлов показал, что среди клиентов Hacking Team были заказчики из Египта, Ливана, Монголии, Омана, Саудовской Аравии, Южной Кореи и других стран (полный список включает тридцать пять государств). При это фирма утверждает, что никогда не сотрудничала с «репрессивными правительствами».

Видимо, под «сотрудничеством» они не имели в виду оказание платных услуг. Среди украденных документов есть счёт на €58 тыс., выставленный RCS Exploit Portal (подразделением Hacking Team) заказчику из Египта. Другой счёт на миллион эфиопских быр и вовсе стал знаковым документов. По всей видимости, он имеет отношение к кампании 2012 года по дискриминации премьер-министра и рассылок с антиправительственными призывами с восьми разных доменов. Курс национальной валюты после этого резко пошёл вниз.

Информационная война и шпионаж через интернет неразрывно связаны. Инцидент со взломом Hacking Team хорошо раскрывает масштабы этих явлений. Самый большой счёт на €480 тыс. был оплачен из Судана в 2013 году. Тогда были задержаны многие политические деятели, гражданские волнения переросли в массовые беспорядки, а во время столкновения демонстрантов с силами безопасности погибло около двухсот человек.

Фрагмент счёта Hacking Team (изображение: csoonline.com).

Однако если контракты с африканскими государствами и странами Ближнего Востока носили характер разовых сделок, то в Европе и США многие ведомства пользовались услугами Hacking Team регулярно. К моменту взлома действующий контракт был у испанской инквизиции разведки (Centro Nacional de Inteligencia), Федерального бюро расследований и Управления по борьбе с наркотиками США, а вот АНБ в списке клиентов не значится.

Общая сумма контрактов по текущим заказам превышает €3,4 млн, а по выполненным за всю историю компании – €4,3 млрд. Интереснее всего в списке клиентов выглядят отношения Hacking Team с Россией. Если напротив других стран указаны отметки действующих заказов, то в графах «Russia» и «Sudan» написана загадочная формулировка «Официально не поддерживается».

Санкции коснулись даже теневой экономики?

Больше всех из сотрудников компании пострадал старший системный администратор и руководитель службы безопасности Кристиан Поцци (Christian Pozzi). Среди украденных данных оказались десятки паролей, которые он хранил в профиле браузера Firefox. Автоматический вход Поцци использовал не только в соцсетях, но и платёжных системах. К тому же, все его пароли оказались построены на базе узнаваемых шаблонов, по которым легко было восстановить остальные, не попавшие в руки взломщиков.

По всей видимости, Поцци провёл выходные вдали от компьютера и сотовых сетей, поэтому не знал о взломе. Частичный контроль над аккаунтами Hacking Team удалось восстановит только в понедельник. На официальной странице появилось уведомление о том, что компания продолжает работу, а виновники воскресного безобразия будут найдены и примерно наказаны.

Желая остановить распространение торрент-файла, Кристиан написал: «Не верьте тому, что говорят про нашу компанию. Это просто ложь. В торренте содержится вирус». В ответ его аккаунт наводнился саркастическими замечаниями, одно из которых написал непосредственно бывший консультант по безопасности Twitter Джон Адамс (John Adams): «Нет, торрент содержит все ваши вирусы, которые вы продавали».

All your virus are belong to us

Сами разработчики называют свои руткиты, бэкдоры и килоггеры «индивидуальными решениями в сфере программного обеспечения, написанными с учётом специфических потребностей наших заказчиков».

На момент написания статьи они пытаются восстановить доступ к десяткам аккаунтов (некоторые из них были взломаны повторно) и воссоздают скомпрометированную сеть анонимайзеров. Среди четырёхсот гигабайт корпоративных данных обнаружились подробные описания аккаунтов VPN в Европе и США (включая IP-адреса и имена заказчиков).

Анализ украденных файлов продолжается. Эта утечка секретных данных может стать крупнейшей со времён раскрытия сведений АНБ Сноуденом. Она уже затронула тридцать пять стран и пролила свет на события последних лет – главным образом, сценарии смены власти и подрыва экономики через дискредитацию политиков и манипулирование общественным мнением.

Автор: Андрей Васильков, КОМПЬЮТЕРРА