Хакерская команда

Итальянская компания информационных технологий

HackingTeam — миланская компания , занимающаяся информационными технологиями , которая продавала правительствам, правоохранительным органам и корпорациям возможности наступательного вторжения и наблюдения . ^[1] Его « Системы дистанционного управления » позволяют правительствам и корпорациям контролировать общение пользователей Интернета, расшифровывать их зашифрованные файлы и электронные письма, записывать Skype и другие передачи голоса по IP , а также удаленно активировать микрофоны и камеры на целевых компьютерах. ^[2] Компанию критиковали за предоставление этих возможностей правительствам с плохими показателями в области прав человека , ^[3] хотя HackingTeam заявляет, что у них есть возможность отключить свое программное обеспечение, если оно используется неэтично. ^{[4] [5]} Итальянское правительство ограничило их лицензию на ведение бизнеса со странами за пределами Европы. ^[6]

В итальянском офисе HackingTeam работает около 40 человек, а также есть дочерние филиалы в Аннаполисе , Вашингтоне, округ Колумбия , и Сингапуре . ^[7] Ее продукция используется в десятках стран на шести континентах. ^[8]

Основание компании

HackingTeam была основана в 2003 году итальянскими предпринимателями Винченцетти и Валериано Бедески. В 2007 году компанию инвестировали два итальянских венчурных капитала: Fondo Next и Innogest. ^[9]

О компании узнало миланское полицейское управление. Надеясь использовать свой инструмент для слежки за гражданами Италии и прослушивания их звонков в Skype, полиция связалась с Винченцетти и попросила его помочь. ^[10] HackingTeam стала «первым продавцом коммерческого хакерского программного обеспечения полиции».

По словам бывшего сотрудника Бьямукамы Робинхуда, компания начинала как поставщик услуг безопасности, предлагая клиентам тестирование на проникновение , аудит и другие защитные возможности. ^[11] Бьямукама утверждает, что по мере того, как вредоносное ПО и другие наступательные возможности разрабатывались и приносили больший процент доходов, организация перешла в более наступательное направление и стала все более раздробленной. Бьямукама утверждает, что коллеги, работающие над различными аспектами одной и той же платформы (например, эксплойтами и полезными нагрузками для Android), не будут общаться друг с другом, что может привести к напряженности и раздорам внутри организации. ^[11]

В феврале 2014 года в отчете Citizen Lab указано, что организация использует услуги хостинга от Linode , Telecom Italia , Rackspace , NOC4Hosts и надежной хостинговой компании Santrex. ^[12]

5 июля 2015 года в компании произошла серьезная утечка данных клиентов, программного кода, внутренних документов и электронной почты. ( См.: § Утечка данных в 2015 г. )

2 апреля 2019 года HackingTeam была приобретена InTheCyber ​​Group для создания Memento Labs ^[13].

Продукты и возможности

Hacking Team позволяет клиентам выполнять функции удаленного мониторинга граждан через свои RCS (системы дистанционного управления) , включая платформы Da Vinci и Galileo: ^[1]

• Скрытый сбор электронных писем, текстовых сообщений, истории телефонных звонков и адресных книг.
• Регистрация нажатий клавиш
• Раскройте данные истории поиска и сделайте снимки экрана
• Запись звука телефонных звонков

• Захват аудио- и видеопотока из памяти устройства для обхода криптографии сеансов Skype [ 14 ^]
• Используйте микрофоны на устройстве, чтобы улавливать окружающий фоновый шум и разговоры.

• Активируйте камеры телефона или компьютера
• Взлом телефонных GPS-систем для отслеживания местоположения цели
• Заразить прошивку UEFI BIOS целевого компьютера руткитом ^[15]
• Извлечение паролей Wi-Fi ^[16]
• Удалите файлы биткойнов и других криптовалютных кошельков для сбора данных о локальных учетных записях, контактах и ​​истории транзакций ^[17]

HackingTeam использует передовые методы, чтобы избежать разрядки аккумуляторов сотовых телефонов, что потенциально может вызвать подозрения, а также другие методы, чтобы избежать обнаружения. ^{[18] [19]}

Вредоносная программа имеет полезную нагрузку для Android , ^[16] BlackBerry , Apple iOS , Linux , Mac OS X , Symbian , а также операционных систем Microsoft Windows , Windows Mobile и Windows Phone . ^[20]

RCS — это платформа управления, которая позволяет операторам удаленно развертывать эксплойты и полезные нагрузки против целевых систем, удаленно управлять взломанными устройствами и извлекать данные для удаленного анализа.

Споры

Использование репрессивными правительствами

HackingTeam подвергалась критике за продажу своих продуктов и услуг правительствам с плохой репутацией в области прав человека, включая Судан , Бахрейн , Венесуэлу и Саудовскую Аравию . ^[21]

В июне 2014 года группа Организации Объединенных Наций , наблюдающая за выполнением санкций в отношении Судана, запросила у HackingTeam информацию о предполагаемых продажах программного обеспечения в страну в нарушение запретов Организации Объединенных Наций на экспорт оружия в Судан. Документы, просочившиеся в результате взлома данных HackingTeam в 2015 году, показали, что в 2012 году организация продала Национальной службе разведки и безопасности Судана доступ к своему программному обеспечению «Система дистанционного управления» за 960 000 евро. ^[21]

В ответ на запрос комиссии ООН в январе 2015 года компания ответила, что в настоящее время она не продает свою продукцию Судану. В последующем обмене мнениями HackingTeam заявила, что их продукт не контролировался как оружие, и поэтому запрос вышел за рамки компетенции комиссии. У них не было необходимости раскрывать предыдущие продажи, которые они считали конфиденциальной деловой информацией. ^[21]

ООН не согласилась. «По мнению комиссии, поскольку такое программное обеспечение идеально подходит для поддержки операций военной электронной разведки (ELINT), оно потенциально может подпадать под категорию «военного… оборудования» или «помощи», связанной с запрещенными предметами», — заявил министр. писал в марте. «Таким образом, его потенциальное использование для нападения на любую из воюющих сторон в Дарфурском конфликте представляет интерес для Группы». ^{[21] [22]}

Осенью 2014 года итальянское правительство резко заморозило весь экспорт HackingTeam, ссылаясь на проблемы с правами человека. После лоббирования итальянских чиновников компания временно отвоевала право продавать свою продукцию за границу. ^[21]

Утечка данных в 2015 году

5 июля 2015 года аккаунт компании в Твиттере был взломан неизвестным лицом, опубликовавшим сообщение об утечке данных в компьютерных системах HackingTeam. Первоначальное сообщение гласило: « Поскольку нам нечего скрывать , мы публикуем все наши электронные письма, файлы и исходный код… » и содержало ссылки на более чем 400 гигабайт данных, включая предполагаемые внутренние электронные письма, счета-фактуры. и исходный код ; которые просочились через BitTorrent и Mega . ^[23] WikiLeaks и многие другие пользователи социальных сетей ретвитнули сообщение об утечке данных, включая ссылку на битторрент-семя . ^{[24] [25]}

Материал был объемным, и ранний анализ показал, что HackingTeam выставила счета ливанской армии ^[26] и Судану , а также что шпионские инструменты были проданы в Бахрейн и Казахстан . ^[25] Ранее HackingTeam заявляла, что никогда не вела дела с Суданом. ^[27]

Утечка данных выявила кроссплатформенный Flash-эксплойт нулевого дня ( номер CVE : CVE - 2015-5119). ^[28] Дамп включал демо-версию этого эксплойта, открываемую калькулятор с тестовой веб-страницы. ^{[29] [30] [31 ] ]} Adobe исправила эту дыру 8 июля 2015 г. ^[32] В дампах была обнаружена еще одна уязвимость, связанная с Adobe, которая использовала атаку на переполнение буфера в DLL-библиотеке Adobe Open Type Manager , включенной в состав Microsoft Windows . Эта DLL запускается в ядре. режим , чтобы атака могла выполнить повышение привилегий в обход «песочницы» . ^[33]

В утечке данных также выяснилось, что сотрудники HackingTeam использовали слабые пароли, в том числе «P4ssword», «wolverine» и «universo». ^[34]

После нескольких часов отсутствия ответа от HackingTeam член команды Кристиан Поцци написал в Твиттере, что компания тесно сотрудничает с полицией и что « то, что утверждают злоумышленники в отношении нашей компании, не соответствует действительности». [ ^{35] [36]} Он также заявил, что просочившийся архив «содержит вирус» и что это «ложная информация». ^[37] Вскоре после этих твитов аккаунт Поцци в Твиттере, очевидно, был скомпрометирован. ^[38]

Ответственность за эту атаку взял на себя хакер, известный в Твиттере как «Финес Фишер» (или Фишер). ^[39] Ранее Финеас атаковал фирму по производству шпионского программного обеспечения Gamma International , которая производит вредоносное ПО, такое как FinFisher , для правительств и корпораций. ^[40] В 2016 году Финеас опубликовал подробности нападения на испанском и английском языках в качестве инструкции для других и объяснил мотивы нападения. ^{[41] [42]}

Внутренние документы раскрывают подробности контрактов HackingTeam с репрессивными правительствами. ^[43] В 2016 году правительство Италии вновь отозвало у компании лицензию на продажу шпионского ПО за пределами Европы без специального разрешения. ^{[6] [44]}

Использование мексиканскими наркокартелями

Коррумпированные мексиканские чиновники помогли наркокартелям получить современное шпионское ПО (в том числе шпионское ПО Hacking Team). Программное обеспечение использовалось наркокартелями и правительственными субъектами, связанными с картелями, для преследования и запугивания мексиканских журналистов. ^[45]

Список клиентов

В число клиентов HackingTeam входят не только правительства, но и корпоративные клиенты, такие как Barclays и British Telecom (BT) в Великобритании , а также Deutsche Bank в Германии . ^[1]

Полный список клиентов HackingTeam стал известен в результате взлома в 2015 году. Раскрытые документы показывают, что у HackingTeam было 70 текущих клиентов, в основном военные, полицейские, федеральные и провинциальные правительства. Общий раскрытый доход компании превысил 40 миллионов евро . ^{[46] [47] [48] [49] [50] [51]}

8 сентября 2021 года SentinelLABS опубликовала исследовательский отчет о турецком злоумышленнике EGoManiac, который использовал систему дистанционного управления (RCS), программное обеспечение итальянской фирмы Hacking Team, занимающейся информационной безопасностью, которая работала в период с 2010 по 2016 год и кампанию, которую проводили турецкие тележурналисты. на OdaTV за шпионаж за турецкой полицией. ^[52]

Смотрите также

• Финфишер
• МиниПанцер и МегаПанцер
• Vupen — поставщик эксплойтов нулевого дня, связанный с HackingTeam ^[69]
• Mamfakinch — гражданская медиа-организация, атакованная вредоносным ПО, предположительно разработанным HackingTeam ^[70]

Рекомендации

1. Бэти, Ангус (24 ноября 2011 г.). «Шпионы за твоей ширмой». Телеграф . Проверено 26 июля 2015 г.
2. «Враги Интернета: HackingTeam». Репортеры без границ . Архивировано из оригинала 29 апреля 2014 года . Проверено 24 апреля 2014 г.
3. Марчак, Билл; Гаурниери, Клаудио; Маркиз-Буаре, Морган; Скотт-Рейлтон, Джон (17 февраля 2014 г.). «Сопоставление «неотслеживаемых» шпионских программ HackingTeam». Гражданская лаборатория . Архивировано из оригинала 20 февраля 2014 года.
4. Копфштейн, Янус (10 марта 2014 г.). «Хакеры без границ». Житель Нью-Йорка . Проверено 24 апреля 2014 г.
5. Маркиз-Буаре, Морган; Гаурниери, Клаудио; Скотт-Рейлтон, Джон; Клеемола, Кэти (24 июня 2014 г.). «Полицейская история: вредоносное ПО для правительственной слежки HackingTeam». Гражданская лаборатория . Университет Торонто. Архивировано из оригинала 25 июня 2014 года . Проверено 3 августа 2014 г.
6. Зорабедян, Джон (8 апреля 2016 г.). «HackingTeam теряет глобальную лицензию на продажу шпионского ПО». Голая охрана . Проверено 15 мая 2016 г.
7. Хьюман Райтс Вотч (25 марта 2014 г.). «Они знают все, что мы делаем». Проверено 1 августа 2015 г.
8. Джеффрис, Адрианна (13 сентября 2013 г.). «Познакомьтесь с HackingTeam, компанией, которая помогает полиции взломать вас». Грань . Проверено 21 апреля 2014 г.
9. "Нет, я падри дель кибер-007" . 2 декабря 2011 г.
10. Джеффрис, Адрианна (13 сентября 2013 г.). «Познакомьтесь с Hacking Team, компанией, которая помогает полиции взломать вас». Грань . Проверено 20 августа 2021 г.
11. Фаривар, Сайрус (20 июля 2015 г.) HackingTeam ведет войну против бывших сотрудников, подозревает, что некоторые из них помогали хакерам. Арс Техника . Проверено 26 июля 2015 г.
12. "Связь HackingTeam с США" . 28 февраля 2014 года . Проверено 2 августа 2015 г.
13. "Лаборатории Nasce Memento". 2 апреля 2019 г.
14. Стеклоу, Стив; Зонне, Пол; Брэдли, Мэтт (1 июня 2011 г.). «Ближний Восток использует западные инструменты для борьбы с восстанием Skype». Журнал "Уолл Стрит . Проверено 26 июля 2015 г.
15. Лин, Филипп (13 июля 2015 г.). «HackingTeam использует руткит UEFI BIOS для сохранения агента RCS 9 в целевых системах». Блог TrendLabs по вопросам безопасности . Тренд Микро . Проверено 26 июля 2015 г.
16. «Продвинутое шпионское ПО для Android теперь доступно скрипт-кидам повсюду» . Арс Техника . Проверено 2 августа 2015 г.
17. Фаривар, Сайрус (14 июля 2015 г.). « HackingTeam нарушила секретность Биткойна, нацелившись на важный файл кошелька ». Арс Техника . Проверено 26 июля 2015 г.
18. Шнайер, Брюс. «Подробнее о правительственном шпионском программном обеспечении HackingTeam».
19. «Инструменты HackingTeam позволяют правительствам получить полный контроль над вашим смартфоном» . Интернэшнл Бизнес Таймс, Великобритания . 24 июня 2014 года . Проверено 15 мая 2016 г.
20. Гварниери, Клаудио; Маркиз-Буаре, Морган (13 января 2014 г.). «Защитить и заразить: милитаризация Интернета». На 30-м Конгрессе Хаос-коммуникаций – «30C3». (Видео или аудио). Компьютерный клуб Хаос . Проверено 15 августа 2015 г.
21. Хэй Ньюман, Лили (7 июля 2015 г.). «Подробный взгляд на электронные письма HackingTeam о ее репрессивных клиентах». Перехват . Проверено 15 мая 2016 г.
22. Ниббс, Кейт (8 июля 2015 г.). «Неубедительное оправдание HackingTeam продажи цифрового оружия Судану». Гизмодо . Проверено 15 мая 2016 г.
23. "Взломанная команда (@hackingteam)" . Архивировано из оригинала 6 июля 2015 года . Проверено 6 июля 2015 г.{{cite web}}: CS1 maint: bot: исходный статус URL неизвестен ( ссылка )
24. WikiLeaks [@wikileaks] (6 июля 2015 г.). «Внутри создателей вредоносного ПО «HackingTeam»: сотни гигабайт электронных писем, файлов и исходного кода» ( твит ) . Проверено 6 июля 2015 г. - через Twitter .
25. «HackingTeam взломана: шпионские инструменты проданы репрессивным режимам Судана, Бахрейна и Казахстана». Интернэшнл Бизнес Таймс . 6 июня 2015 года . Проверено 6 июля 2015 г.
26. Команда хакеров в Твиттере
27. Рэган, Стив (5 июля 2015 г.). «HackingTeam взломан, злоумышленники заявляют о 400 ГБ сброшенных данных» . Проверено 6 июля 2015 г.
28. «Рекомендации по безопасности для Adobe Flash Player» . helpx.adobe.com . Системы Adobe . 8 июля 2015 года . Проверено 30 августа 2016 г.
29. Хандельвал, Свати. «В дампе данных HackingTeam обнаружен эксплойт нулевого дня для Flash Player» . Проверено 6 июля 2015 г.
30. Пи, Питер. «Неисправленный недостаток Flash Player, в утечке HackingTeam обнаружено больше POC» . Проверено 8 июля 2015 г.
31. «WICAR тестирует вредоносное ПО» . Проверено 16 мая 2017 г.
32. Adobe Systems (корпоративный автор). «Бюллетень по безопасности Adobe» . Проверено 11 июля 2015 г. {{cite web}}: |last=имеет общее имя ( справка )
33. Тан, Джек (7 июля 2015 г.). «Взгляд на уязвимость диспетчера шрифтов открытого типа из утечки HackingTeam» . Проверено 8 июля 2015 г.
34. Уиттакер, Зак. «HackingTeam использовала шокирующе плохие пароли». ЗДНет . Проверено 6 июля 2015 г.
35. Кристиан Поцци. "неизвестный". Архивировано из оригинала 7 марта 2021 года . Проверено 6 июля 2015 г. - через Twitter. {{cite web}}: Cite использует общий заголовок ( справка )
36. Кристиан Поцци. "неизвестный". Архивировано из оригинала 7 марта 2021 года . Проверено 6 июля 2015 г. - через Twitter. {{cite web}}: Cite использует общий заголовок ( справка )
37. Кристиан Поцци. "неизвестный". Архивировано из оригинала 23 декабря 2020 года . Проверено 6 июля 2015 г. - через Twitter. {{cite web}}: Cite использует общий заголовок ( справка )
38. «Кристиан Поцци в Твиттере: «Ой, мой аккаунт в Твиттере тоже взломали». 6 июля 2015 года. Архивировано из оригинала 6 июля 2015 года . Проверено 6 июля 2015 г.
39. Финеас Фишер [@gammagrouppr] (6 июля 2015 г.). «Гамма и HT отключены, осталось еще несколько :)» ( Твит ) – через Твиттер .
40. Осборн, Чарли. «HackingTeam: Мы не будем «сморщиваться и уходить» после кибератаки». ЗДНет . Проверено 6 июля 2015 г.
41. «Hack Back — Руководство своими руками (команда хакеров)» . анархистская библиотека . 26 апреля 2017 г.
42. «Как взломали HackingTeam» . Арс Техника . 19 апреля 2016 года . Проверено 15 мая 2016 г.
43. «Подробный взгляд на электронные письма HackingTeam о ее репрессивных клиентах» . Перехват . 7 июля 2015 года . Проверено 15 мая 2016 г.
44. «Глобальная лицензия хакерской команды отозвана итальянскими экспортными властями» . Конфиденциальность Интернешнл . 8 апреля 2016 г. Архивировано из оригинала 5 мая 2019 г. . Проверено 15 мая 2016 г.
45. «Это бесплатно для всех: как высокотехнологичное шпионское ПО попадает в руки мексиканских картелей» . TheGuardian.com . 7 декабря 2020 г.
46. Копштейн, Джастин (6 июля 2015 г.). «Вот все сомнительные правительственные агентства, покупающие шпионскую технику HackingTeam» . Журнал Вице.
47. Вайсман, Кейл Гатри (6 июля 2015 г.). «В документах взломанной охранной компании указан целый список подозрительных клиентов». Бизнес-инсайдер .
48. Рэган, Стив. «В картинках: куратор взлома HackingTeam». CSO Online (Австралия).
49. Херн, Алекс (6 июля 2015 г.). «HackingTeam взломан: фирма продавала шпионские инструменты репрессивным режимам, говорится в документах» . Хранитель . Проверено 22 июля 2015 г.
50. Рэган, Стив (6 июля 2015 г.). «HackingTeam реагирует на утечку данных, публично угрожает и опровергает». ЦСО онлайн . Проверено 22 июля 2015 г.
51. Стивенсон, Аластер (14 июля 2015 г.). «Целая куча провалившихся правительственных программ наблюдения вот-вот вернётся в сеть». Бизнес-инсайдер . Проверено 22 июля 2015 г.
52. Стивенсон, Аластер (8 сентября 2021 г.). «Клиент хакерской группы в Турции был арестован за шпионаж за коллегами из полиции [или: Шпионская история, которая сплела запутанную паутину]» . Зеттер . Проверено 8 сентября 2021 г.
53. Джон Пьерантонио. «Ecco chi ha bucato HackingTeam». Архивировано 6 августа 2015 года в Wayback Machine . Интернэшнл Бизнес Таймс . Проверено 2 августа 2015 г.
54. Ediciones El País (8 июля 2015 г.). «HackingTeam: «Офисная технология для полиции»». Эль Паис . Проверено 2 августа 2015 г.
55. «Утечка HackingTeam показывает, что Мексика была ее главным клиентом, но почему?». Слияние . Проверено 2 августа 2015 г.
56. «Утечка электронных писем от охранной фирмы HackingTeam показывает, что правительство использовало их - Fortune» . Удача . Проверено 2 августа 2015 г.
57. «Утечка документов показывает, что ФБР, DEA и армия США покупают итальянское шпионское ПО». Перехват . Проверено 2 августа 2015 г.
58. «Оборудование HackingTeam украдено в Панаме» . Материнская плата . Проверено 2 августа 2015 г.
59. Молина, Табата (13 августа 2015 г.). «Панама расследует дело Мартинелли по делу о шпионаже в HackingTeam» . Панамская почта . Проверено 15 августа 2015 г.
60. «HackingTeam, очевидно, нарушила правила ЕС при продаже шпионского ПО российскому агентству» . Арс Техника . Проверено 2 августа 2015 г.
61. «Как HackingTeam создала шпионское ПО, которое позволило ФБР контролировать браузер Tor» . Перехват . Проверено 2 августа 2015 г.
62. МакГрат, Бен (25 июля 2015 г.). « Дальнейшие разоблачения хакерского скандала в Южной Корее ». Мировой социалистический веб-сайт . Проверено 26 июля 2015 г.
63. «УБН только что расторгло контракт с HackingTeam» . Материнская плата . Проверено 2 августа 2015 г.
64. * Отчет эквадорских веб-сайтов о команде хакеров, Get Taken Down, заархивировано из оригинала 20 июля 2019 г. , получено 5 мая 2019 г.
    • Команда хакеров помогла Эквадору шпионить за активистом оппозиции, архивировано из оригинала 11 ноября 2019 г. , получено 5 мая 2019 г.
    • Поправка: Эквадор: взлом истории оппозиции
65. На Кипре (11 июля 2015 г.). Глава разведывательной службы уходит в отставку. Архивировано 15 августа 2015 г. в Wayback Machine . Проверено 26 июля 2015 г.
66. Бахрейнский центр по правам человека (15 июля 2015 г.). « Вызывающие тревогу связи HackingTeam с Бахрейном » IFEX. Проверено 26 июля 2015 г.
67. Лексим (14 июля 2015 г.). « Burime të sigurta, SHISH përdor programet përgjuese qe prej 2015. HackingTeams: Nuk e kemi nën kontroll systemmin! » (видео). БалканВеб. Проверено 27 июля 2015 г.
68. "Датская политическая система борьбы с противоречиями фирмы" . Информация.дк . Информация Дагбладет . Проверено 10 октября 2021 г.
69. HackingTeam: исследование рынка нулевого дня, блог Влада Цирклевича.
70. Перлрот, Николь (10 октября 2012 г.). В преддверии конференции по шпионскому ПО: больше доказательств злоупотреблений. Нью-Йорк Таймс (биты).

Внешние ссылки

• Официальный веб-сайт
• Архивы HackingTeam - отчеты о расследованиях, опубликованные The Citizen Lab