Piratage de la Hacking Team expliqué

Posted On 19 Avr 2016

By : Damien Bancal

Comment: 0

Tag: antisec, explication, hacking team, infiltration, mode d'emploi, shell

Un document passionnant, sur Pastebin, explique comment l’entreprise italienne d’espionnage, Hacking Team, a été infiltré, à l’été 2015.

C’est par l’affichage d’un petit personnage souriant, pissant sur le logo HT (Hacking Team), que s’ouvre le document diffusé sur Pastebin ce 15 avril 2016. Le fichier texte s’annonce comme étant dans la mouvance des Antisec. Des pirates informatiques anarchistes, piratant pour le fun et mettre le « boxon » dans le monde informatique. Ce fichier revient sur le piratage de l’entreprise italienne, hacking Team. Pour rappel, la Hacking Team a été piraté en juillet 2015. Des milliers de documents sensibles ont été diffusés. Dans les fichiers, des preuves de l’achat du logiciel d’espionnage de HT par de nombreuses entités policières, ainsi que des états peu recommandables (Ethiopie…)

« Dans ce monde, il y a beaucoup de bons hackers, souligne l’introduction du document, mais malheureusement ils gaspillent leurs connaissances en travaillant pour les entrepreneurs de la « défense« , pour les agences de renseignement. Ils préfèrent protéger les banques, les sociétés et pour défendre l’ordre établi. La culture hacker est née aux États-Unis en tant que contre-culture. Une contre-culture esthétique – le reste a été assimilé. Ils peuvent porter une chemise, teindre leurs cheveux en bleu, ils se sentent rebelles tout en travaillant pour le système« . Bref, le ton est donné.

Le document explique comment un pirate doit se cacher, comment l’infiltration de Hacking Team a été orchestrée. « Chiffrer votre disque dur, explique Antisec. Je suppose que quand la police arrive à saisir votre ordinateur, cela veux dire que vous avez déjà fait beaucoup d’erreurs, mais mieux vaut prévenir que guérir« .

Dans sa liste, l’écrivain revient sur le social engineering, l’analyse sociale et environnementale de la cible. Il parle aussi d’outils pour se « protéger » tels que TOR ou des solutions Linux dédiées. Intéressant aussi, et je le rejoins sur ce point, l’utilisation d’outils pirates déjà installés par d’autres malveillants, dans les sites Internet « Merci au travailleurs Russes et leur exploit kits, aux éleveurs de bots. De nombreuses entreprises sont déjà compromises. Presque l’intégralité du Fortune 500 (les 500 premières entreprises américaines, NDR), avec leurs énormes réseaux, ont un bots déjà à l’intérieur de leurs serveurs« .

Cependant, Hacking Team est une très petite entreprise, et la plupart des employés sont des experts en sécurité informatique. Le pirate égraine donc sa méthode d’infiltration. Une lecture passionnante, parfaitement documentée. « Il est facile de démolir une entreprise et arrêter ses abus visant les droits de l’homme, termine le document. Telle est la beauté et l’asymétrie du piratage. Avec seulement une centaine d’heures de travail, une seule personne peut détruire des années de travail d’une entreprise de plusieurs millions de dollars. Le piratage nous donne la possibilité de les déposséder, de les combattre et de gagner. La plupart des gens qui se disent – hackers éthiques – ne fonctionnent que pour protéger ceux qui paient leurs frais de consultation. Ceux qui paient sont souvent ceux qui méritent le plus d’être piraté.«

Bilan, on découvre au final que cette attaque n’aurait pu être bloquée par AUCUNS systèmes de sécurité informatique. Antivirus, anti ATP, Firewall sont et seraient restés muets. Création d’un firmware pour une appliance qui sera installée en utilisant une faille 0Day, connue seule de l’assaillant (Cela sent bon une entité américaine diront certain, NDR). Utilisation de ce code malveillant comme pivot (installation de proxy sock, port forwarding, écoute et scan réseau). Découverte d’une base de données sous MongoSQL. Une fuite pourtant largement connue. Elle a d’ailleurs fait la une de la presse américaine, il y a peu avec, avec la fuite de 191 millions d’élécteurs US. Le pirate va ensuite découvrir un espace de stockage. Mettre la main sur un mot de passe sauvegardé dans cet espace. Password qui n’était rien d’autre que l’accès à service ayant les droits d’administrateur local. Le pirate n’a eu plus qu’à égrainé les comptes et trouver l’accès. Exécution de divers script powershell pour intercepter les données (frappes clavier, captures écran…).

Cela va lui permettre d’accéder à d’autres accès/données dédiés au projet RCS. Bref, un pirate qui n’est pas né de la dernière pluie.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.