關于Hacking Team被黑,這些事你可能還不知道!
近日,被稱為“全球最臭名昭著的意大利黑客公司”Hacking Team 曝出被黑,有400G文件流出。針對此次事件,Shotgun從安全專業角度出發,為我們解構Hacking Team 被黑的前因后果。
Hacking Team是什么?
Hacking Team是一家專注于開發網絡監聽軟件的公司,他們開發的軟件可以監聽幾乎所有的桌面計算機和智能手機,包括Windows、Linux、Mac OS、iOS 、Android、Blackberry、Symbian等等,Hacking Team不僅提供監聽程序,還提供能夠協助偷偷安裝監聽程序的未公開漏洞(0day),真是全套服務。
Hacking Team的客戶不乏各國的執法機構,甚至包括了聯合國武器禁運清單上的國家,不愧為新時代的IT軍火供應商。搞笑的事情發生了,在我們的印象 中,軍火商都應該是荷槍實彈、戒備森嚴的,可是Hacking Team的老板一覺醒來,卻發現自己的軍火倉庫和帳房被偷了個底朝天。
Hacking Team被盜了什么 ?
簡單來說,就是軍火庫、帳房和衣櫥都被洗劫了:
1、各種平臺的木馬程序(含源代碼)
2、協助各種木馬植入的未公開漏洞(0day)
3、大量電子郵件,包括各種商業合同
4、Hacking Team內部部分員工的個人資料和密碼
5、其他資料,包括項目資料和一些監聽的錄音
Hacking Team為什么會被黑?
其實Hacking Team并非第一家被黑的"網絡軍火"公司,去年總部在英國的另外一家監控軟件公司Gamma國際也被黑,他們的FinFisher遭遇了同樣方式的黑客入侵,泄漏了40GB的內部文件。"網絡軍火"業務一方面游走在法律的邊緣,雖然能滿足一部分執法部門的需求,但也非常容易被濫用,從而容易引發其他國家和一些組織的敵視。有消息顯示,目前HT被部分政府部門用于監聽記者信息系統。此外,作為一家以網絡監聽為主營業務的公司,在自身的信息安全防護上如此大意,也是本次事件的重要起因。
首先,Hacking Team的系統管理員疏忽大意導致個人電腦被入侵。
正常情況下,系統管理員用來進行維護的電腦應該和辦公電腦隔離,并且不要輕易接入互聯網,但是Hacking Team的系統管理員顯然是在同一臺機器上既進行公司的IT系統管理,還訪問互聯網,甚至用來管理個人的視頻和照片,這就給了攻擊者滲透入侵的機會。
其次,系統缺少嚴格的身份認證授權使得攻擊者順藤摸瓜進入內網。
安全防護級別較高的網絡,并不會簡單地對某個設備進行信任,而是采用“雙因素認證”來雙重檢查訪問者的身份,而Hacking Team顯然并沒有這么做,這使得攻擊者在控制了管理員的個人電腦后,無需經過再次認證(比如動態令牌), 就可以訪問Hacking Team的所有資源。
因為沒有嚴格的網絡審計或者異常流量監測,所以400GB數據被拖都未能及時發現。從攻擊者入侵內網,到攻擊者將所有的資料全部偷走,需要一個較長的時間 ,在這個時間內,任何異常行為或者異常流量的報警都可以提醒Hacking Team的員工,自己公司的網絡正在被入侵。而實際上,卻是直到攻擊者公布了所有資料,Hacking Team才知道自己被黑。
不使用數據加密技術導致所有敏感數據都是明文存放。
為了防止數據泄密,有較高安全級別的組織一般都會采用數據加密技術,對敏感程度較高的數據進行防護,這些數據一旦脫離了公司內網,就無法打開,但是本次泄漏的數據均為明文,說明Hacking Team幾乎沒有采用數據加密手段去保護合同、客戶信、設計文檔、攻擊工具等。
上述的所有疏忽導致了今天的結局,中國有句俗話:終日打雁,反被雁啄了眼。這句話用來形容Hacking Team再適當不過了。
這次失竊會產生哪些影響?
本次Hacking Team泄漏事件的后果十分嚴重,過去無論是漏洞還是病毒木馬,在互聯網上的傳播都是小范圍的,白帽子黑客固然會嚴守職業道德,在廠商提供補丁前盡可能不公布漏洞細節,黑帽子也只是在地下圈子內進行漏洞交易,有點像:人人都曾經聽說過黑火藥的配方,但要制作出軍用炸藥還遙遙無期。
而此次事件一下就把已經工程化的漏洞和后門代碼全部公開了,等于數萬噸TNT炸藥讓恐怖分子隨意領取。
1、首當其沖的是普通用戶,本次泄漏包括了Flash player、Windows字體、IE、Chrome、Word、PPT、Excel、Android的未公開漏洞,覆蓋了大部分的桌面電腦和超過一半的智能手機。
這些漏洞很可能會被黑色產業鏈的人利用來進行病毒蠕蟲傳播或者掛馬盜號。上述的漏洞可以用于惡意網站,用戶一旦使用IE或者Chrome訪問惡意網站,很有可能被植入木馬。而Office Word、PPT、Excel則會被用于郵件釣魚,用戶一旦打開郵件的附件,就有可能被植入木馬。
2、本次泄漏的各平臺的木馬后門程序,會把整個灰色產業鏈的平均技術水平提高一個檔次。
例如全平臺的監控能力,以及對微信、whatsapp、skype的監控功能等等。在此次事件之前,灰色產業鏈的軟件工程能力并不高,木馬以隱藏為主,但是界面友好程度和易用性都還有很大的差距,但是本次事件后, 任意一個木馬編寫者都可以輕易地掌握這些技術能力。
3、掀起一波清查惡意軟件后門的行動,相關的信息安全公司和國家政府職能部門會對PC、智能手機進行清查,同時對Hacking Team的服務器進行掃描定位,也會進一步排查各種應用程序市場,智能手機的安全會引起大家的進一步重視。
普通用戶如何做好防范?
1、跟蹤此次事件的發展,各廠商發布補丁后及時升級。在沒有安裝相應補丁前,暫停使用相關的應用和插件。(例如,時刪除或者禁用Flash Player)
2、無論是手機還是電腦,暫時不要訪問不可信的網站(因為本次泄露的0day中泄漏對瀏覽器的攻擊方法),暫時不要用公開的Wi-Fi,也最好不要暴露在公網上,將手機連接到電腦要慎重(Hacking Team提供了利用企業證書植入智能手機的木馬程序),對第三方發送的郵件附件,要謹慎打開(本次泄漏涉及到Office Word、excel、ppt的漏洞利用)。
3、安卓用戶可以去下載西雅圖0xid小組發布的HT木馬查殺工具 https://cnappscan.0xid.com/htrm/HTRemovalTool.apk 。
