Nearly one year after hacking in Hacking Team, the hacker who managed it posted the way he used to break the company's servers. Recall that after the violation, he stole all of his data.
The FinFisher hacker, also known as Phineas Fisher, published in Pastebin during the weekend, how he attacked, and what tools he used.
The hacker revealed that the Hacking Team's entry point was a zero-day root exploit on an embedded device on the company's internal corporate network. He refused to name the exact nature and purpose of the built-in device.
Ο FinFisher αναφέρει ότι ξόδεψε πολύ χρόνο για τη σάρωση του δικτύου της εταιρείας, ανακαλύπτοντας και μια ευπάθεια στο frontend της ιστοσελίδας που χρησιμοποιεί Joomla. Εκτός από τα παραπάνω ανακάλυψε αρκετά ζητήματα ασφαλείας που επηρέαζαν τους servers ηλεκτρονικού post officeυ, δύο routers, και ορισμένα VPN. Ο ερευνητής κατέληξε στο συμπέρασμα ότι το zero-day exploit που εντόπισε ήταν πολύ αξιόπιστο για περαιτέρω επιθέσεις.
After drafting and developing a backdoored firmware on the vulnerable embedded device, he waited, "listening" to internal traffic, scanning and mapping local infrastructures.
So he discovered two vulnerable MongoDB databases that Hacking Team admins did not protect with a password (!). There he found details of the backup system and the backup store.
The most valuable backup was on the email server Exchange, than was able to extract from the BES (BlackBerry Enterprise Server) the administrator account password, which was still valid.
This password allowed FinFisher to access the server as an administrator. So it was able to extract all passwords from all users of the company.
Φυσικά ο hacker γνώριζε ότι υπήρχε η πιθανότητα να τον πιάσουν κάποια στιγμή. Έτσι το πρώτο πράγμα που έκανε ήταν να χρησιμοποιήσετε το Windows PowerShell για να πάρει τα δεδομένα που βρισκόταν στο διακομιστή e-mail της εταιρείας. Για τις επόμενες εβδομάδες, για όσο είχε πρόσβαση, λάμβανε καθημερινά τα νέα e-mail.
After reading a few emails, FinFisher realized there was another one secret δίκτυο εντός των εγκαταστάσεων της εταιρείας, όπου η Hacking Team αποθήκευε τον πηγαίο κώδικα του RCS. (το top λογισμικό επιτήρησης της εταιρείας Remote Control System).
With access to each computer and administrator password, FinFisher focused on one of the company's top developers, Christian Pozzi.
He swept the Pozzi computers and e-mail accounts he used, and eventually discovered the GitLab source code management system's Web interface password.
“That's all you need to start a company and stop human rights violations. This is the beauty and asymmetry of piracy: With 100 hours of work, one person can set aside years of work from a multi-million dollar company, ”FinFisher says.
"Hacking gives the underdogs the opportunity to fight and win."
For more details, read the link below