Hlavní navigace

Hacking Team je zpět, i když vlastně nikdy doopravdy nikam neodešel

Petr Krčmář

Společnost ESET objevila ve čtrnácti zemích vzorky malware společnosti Hacking Team. Zdá se, že vyzrazení všech firemních dat před třemi lety nemělo na společnost větší dopad a ta stále prodává vládám své služby.

Doba čtení: 4 minuty

Bezpečnostní analytici společnosti ESET objevili ve čtrnácti státech vzorky dříve nezaznamenané verze sledovacího software Remote Control System (RCS), který vyvinula italská společnost Hacking Team. Ta se „proslavila“ před třemi lety, kdy se neznámým útočníkům podařilo dostat do firemních serverů a stáhnout prakticky veškerá data. Ty pak zveřejnili – šlo o 400 GB souborů.

Čtěte: Hacking Team: co všechno uměl a jak to dokázal?

Ukázalo se, že se firma zaměřovala na vládní organizace, kterým prodávala své služby – exploity, útoky na zařízení, sledování, odposlechy a podobně. Vše úhledně zabalené a naleštěné. V uniklých cenících byly útoky na mnoho různých platforem včetně těch mobilních a včetně linuxových systémů. Touto činností se firma zabývala od roku 2003 a byla kritizována zejména za to, že se neštítila prodávat své služby také nejrůznějším autoritářským režimům.

Půlroční pauza

Z uživatelského hlediska je podstatný zmíněný Remote Control System, což je sofistikovaný spyware, který dokáže napadené zařízení proměnit v nástroj sledování. Umí zapnout kameru, mikrofon, získat ze zařízení citlivé informace či vstupovat do e-mailové a IM komunikace.

Po zmíněném hacku byla firma nucena zastavit svou činnost, ale ne na dlouho. Už po šesti měsících se na světlo světa dostala informace, že firma zase funguje a minimálně spyware pro macOS je opět nasazován, což také potvrzuje současná analýza společnosti ESET. Firma se tedy z velkého průšvihu oklepala pěkně rychle.

Rok po průniku se změnila vlastnická struktura firmy, když 20 % akcií koupila společnost Tablem Limited se sídlem na Kypru. Spekuluje se ovšem o tom, že ve skutečnosti pochází ze Saúdské Arábie. Zbytek akcií vlastní stále zakladatel firmy David Vincenzetti. Firma v roce 2015 vykázala ztrátu 1 milion dolarů, v roce následujícím pak 600 tisíc dolarů.

Nové vzorky, nová aktivita

Společnost se velmi rychle dostala do hledáčku Citizen Lab při Torontské univerzitě. Ti objevili mnoho výskytů spyware RCS, který vznikl až po roce 2015. Je totiž podepsán novým důvěryhodným certifikátem, který nebyl v minulosti nikdy dříve zaznamenán. Zároveň nové revize obsahují změny, které nebyly v minulosti zachyceny.

ESET tvrdí, že se vzorky skutečně objevovaly průběžně a data jejich výskytů odpovídají nově sestaveným verzím RCS. Vzorky pocházejí z období mezi zářím 2015 a říjnem 2017. Považujeme data kompilace za autentická, protože máme data z telemetrie ESET, která ukazují výskyt těchto variant jen pár dní po zmíněných datech. Další analýzy prý ukazují, že všechny verze vedou ke stejnému zdroji. Nejde tedy o nová sestavený pocházející z nových zdrojů.

Podařilo se zachytit šest různých platných certifikátů. Všechny byly vystaveny společností Thawte na čtyři různé společnosti a dvě fyzické osoby: jednou je spoluzakladatel Hacking Teamu Valeriano Bedeschi, tou druhou je člověk jménem Raffaele Carnacina.


Zdroj: ESET

Přehled objevených certifikátů

Objevené vzorky mají upravený Manifest, který se snaží uživatele přesvědčit, že jde o legitimní aplikace s názvy jako „Advanced SystemCare 9 (9.3.0.1121)“, „Toolwiz Care 3.1.0.0“ a „SlimDrivers (2.3.1.10)“. Aby předešly snadnému odhalení, používají ochranu zvanou VMProtect, která výsledný program komplikuje pomocí různých postupů (včetně virtualizace) a brání tak jeho snadné analýze. Tuto ochranu používal Hacking Team také v minulosti.

Firma pracuje dál

ESET tvrdí, že nejde o činnost někoho, kdo by Hacking Team jen napodoboval. Máme důkazy, které potvrzují, že nový kód je dílem původních programátorů Hacking Teamu. Odpovídá tomu prý například pokračující verzování nových utilit a také použití stejných řetězců. Firma prý má i další vodítka, ale nechce je zveřejnit, aby mohla i v budoucnu činnosti vývojářů sledovat.

Přesto prý došlo k některým změnám, původní spyware měl velikost 4 MB, novější verze jsou zarovnány na 6 MB. Podle mínění odborníků je to proto, aby se zabránilo primitivním detekcím založeným na vlastnostech původního software. Jinými slovy bylo potřeba provést některé změny, aby binárka vypadala na první pohled jako něco jiného.

Zachycené verze spyware, červeně je označená verze vydaná napodobitelem Callisto APT Group
Zdroj: ESET

Zachycené verze spyware, červeně je označená verze vydaná napodobitelem Callisto APT Group

Jeden ze vzorků byl například objeven při cíleném útoku pomocí zprávy s přiloženým spyware, který se ale tváří jako PDF. Náš výzkum ukázal, že změny provedené v kódu po úniku dat jsou provedené stejnými autory. Mají stejný styl a jejich umístění ukazuje na hlubokou znalost kódu, tvrdí ESET.

Hacking Team je pořád tady, dávejte pozor

Pokud jste si v roce 2015 mysleli, že to celé skončilo velkým průnikem a vyzrazením všech firemních tajemství, mýlili jste se. Firma jede po krátké pauze dál a ESET prý začal detekovat její software ve čtrnácti zemích. Zatím.

Firma se rozhodla jména těchto zemí zatím neuvádět, protože nechce zveřejňovat zavádějící informace kvůli nepřesné geolokaci. Hacking Team je tu stále. Jak říká jejich heslo: na to se můžete spolehnout.

Našli jste v článku chybu?