Компания Hacking Team продаёт шпионский софт и инструменты для взлома спецслужбам и полиции по всему миру, в том числе в России. До последнего времени она чувствовала себя неприкасаемой, находясь под защитой влиятельных «друзей» и партнёров. Но сейчас хакеры всё-таки добрались до этих бизнесменов: после взлома корпоративной сети в интернет выложены 400 Гбайт внутренних файлов, исходного кода и почтовой переписки. О деятельности Hacking Team известно давно. Публиковались отчеты с перечислением того, что конкретно они продают. Фирму основали двое итальянских программистов, создателей свободной программы Ettercap для MiTM-атак. Эффект от взлома Hacking Team был мгновенный. Сразу после публикации документов в воскресенье вечером 5 июля 2015 года компания не только прекратила продажи, но и рекомендовала всем клиентам приостановить использование шпионских программ собственной разработки. На сайте размещено объявление о найме новых сотрудников. Фактически, она полностью перешла в «аварийный» режим работы. Проблема очень серьезная, потому что «утекший» исходный код шпионских программ позволяет жертвам слежки легко обнаружить их на своих мобильных телефонах и компьютерах. Их должны включить в антивирусные базы данных и использовать для отслеживания трафика к серверам Hacking Team, а также должны закрыть 0-day уязвимости, которые применяла Hacking Team. Это тотальный крах. Политические последствия грозят быть ещё хуже. Прямо с серверов компании получен точный и полный список клиентов. Теперь эти госслужбы не смогут отрицать свою причастность. Над добычей такой информации правозащитные организации работали годами.
CEO Hacking Team: «Мы хорошие парни» После недельного молчания представители Hacking Team наконец решили пообщаться с прессой и прокомментировать недавнюю масштабную утечку данных. CEO компании Давид Винченцетти (David Vincenzetti) дал интервью итальянскому изданию La Stampa, где попытался хоть немного обелить компанию в глазах общественности. CEO Hacking Team Давид Винченцетти В интервью Винченцетти заявил, что Hacking Team с 2003 года поставляющая правительствам, спецслужбам и частным компаниям шпионский софт и инструменты для взлома, на самом деле всю дорогу играет на стороне хороших парней. Софт компании использовался «для борьбы с преступностью, которая оперирует на границе правового государства и полного беззакония». Винченцетти рассказал, что компания на протяжении всех этих лет была практически безвредной, не делая ничего дурного. Интересны и комментарии Винченцетти относительно скользких геополитических подробностей, ставших достоянием общественности из-за утечки. Дело в том, что согласно попавшим в сеть бумагам, Hacking Team сотрудничала, к примеру, с Ливией, Суданом, Эфиопией, Гондурасом и другими странами с тоталитарными режимами, что упорно отрицала все эти годы. Все перечисленные страны, в частности, известны тем, что преследуют, пытают и убивают журналистов, несогласных с политикой правительства. Для чего там могло использоваться ПО Hacking Team, можно только предположить и ужаснуться. В случае с Суданом, Эфиопией и Ливией Винченцетти признал, что деловые отношения действительно имели место, но с оговорками. Так в случае с Ливией только после того как «мы внезапно стали лучшими друзьями с ливийцами». Египет и Марокко так же являлись клиентами компании, а вот любые сношения с Сирией глава Hacking Team категорически отрицает. В целом, закрывая эту тему, CEO Hacking Team заметил: «Геополитическая картина меняется и развивается очень быстро, возникают самые разные ситуации. Мы не торгуем оружием и не продаем оружие, которое может использоваться годами. Мы — хорошие парни». Дело в том, что ранее уже отмечалось, что Hacking Team контролировала, кто имеет доступ к их технологиям, предназначенным только для правительств и правительственных учреждений. Относительно самой атаки Винченцетти высказывался осторожно, но заметил, что подобная акция «возможна только на государственном уровне, с применением мощных ресурсов, и явно должна была планироваться месяцами». С этим согласен и директор по маркетингу Hacking Team Эрик Рабе (Eric Rabe), пообщавшийся с изданием ZDNet. Рабе говорил, что атака была «невероятной сложной и ее осуществил явно не простой одиночка из-за какого-нибудь подвала». Словом, оба представителя Hacking Team всячески избегают указывать на кого-то конкретного и разглашать подробности внутреннего расследования.
Вредоносное Android-приложение Hacking Team прошло все проверки Google Play Специалисты Trend Micro обнаружили в дампе украденной у Hacking Team информации, поддельное новостное приложение BeNews для платформы Android. Малварь, прикинувшись безобидным новостным ПО, сумела пройти все проверки Google Play и без проблем попала в магазин приложений, хотя Google весной заявляла, что все приложения проверяют не только автоматическую, но и вручную. Приложение использовало название давно закрытого сайта BeNews, чтобы как можно больше походить на настоящее. Приложение скачали более 50 раз, и оно было удалено из Google Play 7 июля 2015 года. Специалисты Trend Micro обнаружили в украденных у компании документах не только исходники с бекдором, но и подробные инструкции по использованию приложения для клиентов Hacking Team. В Trend Micro предполагают, что приложение эксплуатировали с целью установки RCSAndroid малвари (за авторством Hacking Team) на Android-устройства намеченных жертв. BeNews представляло собой бекдор ANDROIDOS_HTBENEWS.A, который может воздействовать на Android начиная с версии 2.2 Froyo и заканчивая версией 4.4.4 KitKat. Бекдор использует уязвимость CVE-2014-3153, позволяющую повышать локальные привилегии. Изучив приложение внимательнее, в Trend Micro пришли к выводу, что оно сумело обойти запреты Google Play, используя динамическую загрузку. К примеру, в самом приложении не обнаружено ничего похожего на эксплоит, и оно запрашивает у пользователя лишь три безобидных разрешения при установке. Все остальное, нужное для работы, приложение позже подгружало из сети, уже будучи установлено на устройство жертвы, после верификации Google. Интересно, что Hacking Team предоставляли своим клиентам полный сервис и предлагали даже готовый к использованию аккаунт Google Play. Сама Hacking Team, тем временем, продолжает внутреннее расследование, совместно с правоохранительными органами. Так агентству Reuters стало известно, что прокуратура Милана сейчас допрашивает шестерых бывших сотрудников Hacking Team в связи со случившимся. Впрочем неизвестны ни имена этой шестерки, ни что послужило поводом для допроса.
