Piratage de la Hacking Team expliqué

Un document passionnant, sur Pastebin, explique comment l’entreprise italienne d’espionnage, Hacking Team, a été infiltré, à l’été 2015.

C’est par l’affichage d’un petit personnage souriant, pissant sur le logo HT (Hacking Team), que s’ouvre le document diffusé sur Pastebin ce 15 avril 2016. Le fichier texte s’annonce comme étant dans la mouvance des Antisec. Des pirates informatiques anarchistes, piratant pour le fun et mettre le « boxon » dans le monde informatique. Ce fichier revient sur le piratage de l’entreprise italienne, hacking Team. Pour rappel, la Hacking Team a été piraté en juillet 2015. Des milliers de documents sensibles ont été diffusés. Dans les fichiers, des preuves de l’achat du logiciel d’espionnage de HT par de nombreuses entités policières, ainsi que des états peu recommandables (Ethiopie…)
« Dans ce monde, il y a beaucoup de bons hackers, souligne l’introduction du document, mais malheureusement ils gaspillent leurs connaissances en travaillant pour les entrepreneurs de la « défense« , pour les agences de renseignement. Ils préfèrent protéger les banques, les sociétés et pour défendre l’ordre établi. La culture hacker est née aux États-Unis en tant que contre-culture. Une contre-culture esthétique – le reste a été assimilé. Ils peuvent porter une chemise, teindre leurs cheveux en bleu, ils se sentent rebelles tout en travaillant pour le système« . Bref, le ton est donné.
Le document explique comment un pirate doit se cacher, comment l’infiltration de Hacking Team a été orchestrée. « Chiffrer votre disque dur, explique Antisec. Je suppose que quand la police arrive à saisir votre ordinateur, cela veux dire que vous avez déjà fait beaucoup d’erreurs, mais mieux vaut prévenir que guérir« .
Dans sa liste, l’écrivain revient sur le social engineering, l’analyse sociale et environnementale de la cible. Il parle aussi d’outils pour se « protéger » tels que TOR ou des solutions Linux dédiées. Intéressant aussi, et je le rejoins sur ce point, l’utilisation d’outils pirates déjà installés par d’autres malveillants, dans les sites Internet « Merci au travailleurs Russes et leur exploit kits, aux éleveurs de bots. De nombreuses entreprises sont déjà compromises. Presque l’intégralité du Fortune 500 (les 500 premières entreprises américaines, NDR), avec leurs énormes réseaux, ont un bots déjà à l’intérieur de leurs serveurs« .
Cependant, Hacking Team est une très petite entreprise, et la plupart des employés sont des experts en sécurité informatique. Le pirate égraine donc sa méthode d’infiltration. Une lecture passionnante, parfaitement documentée. « Il est facile de démolir une entreprise et arrêter ses abus visant les droits de l’homme, termine le document. Telle est la beauté et l’asymétrie du piratage. Avec seulement une centaine d’heures de travail, une seule personne peut détruire des années de travail d’une entreprise de plusieurs millions de dollars. Le piratage nous donne la possibilité de les déposséder, de les combattre et de gagner. La plupart des gens qui se disent – hackers éthiques – ne fonctionnent que pour protéger ceux qui paient leurs frais de consultation. Ceux qui paient sont souvent ceux qui méritent le plus d’être piraté.« 
Bilan, on découvre au final que cette attaque n’aurait pu être bloquée par AUCUNS systèmes de sécurité informatique. Antivirus, anti ATP, Firewall sont et seraient restés muets. Création d’un firmware pour une appliance qui sera installée en utilisant une faille 0Day, connue seule de l’assaillant (Cela sent bon une entité américaine diront certain, NDR). Utilisation de ce code malveillant comme pivot (installation de proxy sock, port forwarding, écoute et scan réseau). Découverte d’une base de données sous MongoSQL. Une fuite pourtant largement connue. Elle a d’ailleurs fait la une de la presse américaine, il y a peu avec, avec la fuite de 191 millions d’élécteurs US. Le pirate va ensuite découvrir un espace de stockage. Mettre la main sur un mot de passe sauvegardé dans cet espace. Password qui n’était rien d’autre que l’accès à service ayant les droits d’administrateur local. Le pirate n’a eu plus qu’à égrainé les comptes et trouver l’accès. Exécution de divers script powershell pour intercepter les données (frappes clavier, captures écran…).
Cela va lui permettre d’accéder à d’autres accès/données dédiés au projet RCS. Bref, un pirate qui n’est pas né de la dernière pluie.
Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.