Een gedetailleerde gids geeft tips, links naar tools en een stappenplan van hoe de hack bij de Italiaanse hackdienst Hacking Team werd uitgevoerd. Verplicht leesvoer voor informatiebeveiligers en serverbeheerders.

De aanvaller die vorig jaar inbrak bij de Italiaanse hackhuurlingen van Hacking Team, heeft een doe-het-zelf-gids gepubliceerd waarin hij de hele aanpak uit de doeken doet. Het is een uitgebreid verhaal met veel details en een zeer lezenswaardig stuk.

Finfisher-hacker

Het gaat om de hacker die eerder G*mm* International, de maker van de onder autoriteiten populaire spyware FinFisher, hackte en documenten daarvan online zette. Die stukken bevatten onder meer een lijst met welke antivirussoftware de spyware detecteert. Hij noemt zichzelf Phineas Fisher en vrijdag tweette hij een link naar de originele Spaanse post en zaterdag volgde een Engelse vertaling.

De black hat-hacker schrijft: "Vroeger moest je inbreken op kantoren om documenten te bemachtigen. Je had een pistool nodig om een bank te beroven. Nu kun je beide dingen doen vanuit bed en met een laptop op schoot." Hij geeft tips over hoe je vermijdt dat je gepakt wordt, met tips als versleutel je harde schijf, gebruik een VM waarbij al het verkeer door Tor wordt geleid en verbind niet rechtstreeks met Tor.
OpSec voor gevorderden

Phineas Fisher geeft alle eer aan 'hard werkende Russen' voor het ontwikkelen van exploits die er al voor zorgden dat veel grote bedrijven slachtoffer werden van datadieven. Op Hacker News werd direct besproken wie de hacker in het echt is, onder meer door dialect, spelling, gebruikte termen en andere potentieel identificerende kenmerken te bespreken. De hacker geeft aan zijn persoonlijke stijl te hebben aangepast voor de inbraak bij Hacking Team, dus het is heel goed mogelijk dat hij dat ook heeft gedaan voor deze documentatie.

"Ik wilde niet dat de politie mijn hack van Hacking Team kon vergelijken met andere hacks die ik in het verleden als black hat-hacker heb gepleegd. Dus ik gebruikte nieuwe servers en domeinnamen, maakte nieuwe e-mailadressen aan en gebruikte nieuwe bitcoin-adressen. Ik hanteerde verder alleen tools die openbaar zijn of software die ik speciaal voor deze hack maakte, en paste mijn manier van werken aan om niet hetzelfde forensische spoor achter te laten."
Exploit schrijven

Phineas Fisher verkende de infrastructuur en ontdekte drie potentiële ingangen om het bedrijf te hacken. Hij kon een zeroday in Joomla zoeken, een zeroday in Postfix of een zeroday in een van de embedde apparaten. "Een zeroday in een embedded apparaat leek te makkelijkste optie en na twee weken reverse-engineeren, had ik een remote root-exploit." Die kwetsbaarheid is nog altijd niet gepatcht, dus de technische details daarvan ontbreken, maar hij verwijst wel naar manieren om zulke gaten te vinden.

Hierna: 'P4ssword' was echt een gebruikt wachtwoord, maar het lekken daarvan was bedoeld als dwaalspoor.



Hij testte de zeroday voor de 'firmware met backdoor' grondig uit voor hij hem inzette. Daarna ontdekte hij dat het niet zo nuttig was voor de hack, maar wel voor de verkenning van de infrastructuur. "Het was leuk om naar opnames te luisteren en webcambeelden te bekijken van hoe Hacking Team malware ontwikkelde, maar het was niet zo bruikbaar. De onbeveiligde back-ups waren uiteindelijk de ingang die ik nodig had."
HT bespioneerde zichzelf

Hij ontdekte diverse kwetsbaarheden, zoals een onbeveiligde MongoDB waar Hacking Team de audio van zijn remote-tools opsloeg. "De geluidsbestanden in de gepubliceerde torrent kwamen hier vandaan. Ze bespioneerden zichzelf zonder dat dit de bedoeling was." Hij richtte uiteindelijk zijn pijlen op de Exchange-server en mountte de back-up.

Daar vond hij een adminwachtwoord van de BlackBerry Enterprise Server (BES). Toen hij eenmaal toegang tot de domeinserver had, had hij de accounts van gebruikers in handen. Na het doorspitten van de bedrijfse-mails, vond de black hat-hacker de GitLab-server van Hacking Team. Hij resette het wachtwoord om toegang te krijgen tot die server en het Twitter-account.
Lol, goede sysadmin

Phineas Fisher lacht er hartelijk om dat Christian Pozzi van Hacking Team het wachtwoord 'P4ssword' gebruikte. "Lol, goede sysadmin." Hij vertelt hoe hij deze details in de torrent die hij lekte verwerkte, zodat onderzoekers zouden concluderen dat Pozzi's account de ingang was.

Volgens de hacker was het een dwaalspoor met als bonus dat iedereen hem kon uitlachen. Met Mimikatz en de keyloggers had hij alle wachtwoorden in handen. Ondanks de gênante en grootschalige hack, bestaat Hacking Team nog steeds. Wel is het bedrijf recentelijk zijn exportlicentie kwijtgeraakt.
Kans voor de underdog

Phineas Fisher besluit: "Dit is het enige wat nodig is om een bedrijf en diens misbruik van mensenrechten te stoppen. Dat is het mooie en asymmetrische van hacken: met 100 uur werk, kan één persoon jarenlang werk van een miljoenenbedrijf tenietdoen. Hacken geeft de underdog een kans om de strijd aan te gaan en te winnen."

Volgens de black hat-hacker is zijn werk om doorsnee computers te beschermen, documenten te lekken en geld terughalen van banken 'ethisch hacken'. Phineas Fisher draagt zijn gids op aan de slachtoffers van de G8-rellen in Genoa in 2001 en iedereen die heeft geleden onder het juk van 'Italiaanse fascisten'.

Mevrouw Smit - niet haar echte naam - is programmeur met specifieke interesse in IT-privacy en security. Daarnaast is ze freelance schrijfster.