'Cómo llevé a cabo el hackeo de Hacking Team'
El hacker responsable de este ataque explica en una guía que pasos siguió, dejando muchas pistas en ciberseguridad y unas cuantas advertencias a otras compañías.
El mismo atacante que hace un año hackeo la compañía Hacking Team ha sacado ahora una guía de cómo consiguió entra en los sistemas de la empresa de softwares de vigilancia, y aunque en un principio sus consejos están dirigidos hacia otros “hacktivistas”, la seguridad de las empresas pueden aprender mucho de este habilidoso informático.
El documento, que ha sido publicado el sábado pasado, se ha filtrado por medio de la cuenta de Twitter @GammaGroupPR, la misma que utilizó el hacker Phineas Fisher para promover y contar su infiltración informática en 2014 en la compañía Gamma International y en 2015 en Hacking Team.
A pesar de que el informe publicado revela que la compañía tenía algunas vulnerabilidades que la exponían, también sobresale que tenía buenas prácticas por lo general en cuanto a ciberseguridad se refiere. Este hecho oscurece a un más el panorama de la seguridad empresarial, ya que evidencia que tener un buen programa no garantiza estar a salvo de cibercriminales.
Una de las claves del informe se haya en que Hacking Team no tenía casi ningún dispositivo expuesto a Internet, además de que sus servidores de desarrollo (los cuales hospedaban el código fuente de su software) se hallaban en un segmento de la red aislado. Según Phineas Fisher los sistemas que se encontraban accesibles desde internet eran el portal de soporte al cliente (el cual requería un certificado de cliente para acceder), una web basada en el CMS Joomla (sin ninguna vulnerabilidad obvia), un par de routers, dos puertas VPN y una aplicación de filtro de spam. Es importante señalar en este punto que tener estos sistemas accesibles desde internet es muy habitual en las compañías. Además, antes de atacar la compañía, el hacker ya había comprobado con otras el firmware y las otras herramientas que utilizó para asegurarse de que no saltaba ninguna alarma en la empresa.
El hacker no ha dado ninguna información sobre de que vulnerabilidad se aprovechó para entrar en el sistema o si comprometió algún dispositivo específicamente, pero la brecha no se ha solucionado todavía y él lo sabe, por lo que la compañía todavía podría ser víctima de un ataque
“Tenía tres opciones: buscar un ataque de día cero en Joomla, en un parche o en uno de los dispositivos integrados”, explica el hacker en referencia a vulnerabilidades desconocidas. “La mejor opción parecía la del dispositivo integrado, ya que era la más fácil; después de dos semanas de trabajo (de ingeniería inversa) conseguí acceso remoto”.
Cualquier ataque que requiera una vulnerabilidad previa desconocida hace un poco más difícil el hackeo; de hecho, que Fisher viera los routers y las aplicaciones VPN como el objetivo más fácil señala la pésima seguridad del dispositivo integrado (y por ello de las aplicaciones VPN).
Despues de conseguir acceso al dispositivo, utilizó este para conectar con una red interna de Hacking Team para poder escanear los sistemas desde dentro y encontrar así nuevas brechas o sistemas malamente configurados.
El primer agujero de seguridad que encontró ya dentro de la compañía era una base de datos sin autentificación necesaria Mongo DB, con archivos de audio de instalaciones de prueba pertenecientes al software de vigilancia de la empresa (llamado RCS). Más adelante también pudo encontrar dos dispositivos de redes de almacenamiento Synology (NAS) que se utilizaban para back-ups y que tampoco requerían de autentificación por parte de la interfaz.
Así, remotamente, Fisher pudo cosechar los sistemas de archivos y acceder a todas las máquinas virtuales de almacenamiento, incluyendo un servidor de email Microsoft Exchange. El registro de Windows tenía lugar en otro back-up provisto por la compañía con una contraseña local de administrador para los servidores de Enterprise de BlackBerry.
Al utilizar esta contraseña en el servidor pudo extraer credenciales adicionales, incluyendo la del administrador de dominio de Windows. Este movimiento lateral por la red empleaba herramientas como PowerShell, Metasploit's Meterpreter y otras de código abierto o que estaban incluida en Windows.
En este Fisher dirigió sus ataques hacia los administradores de los ordenadores para robar sus contraseñas, consiguiendo acceso a otras partes de la red incluyendo la que hospedaba el código fuente del RCS. Aparte del ataque inicial y del firmware que empleó, el hacker no usó ningún programa que pudiese considerarse oficialmente malware, la mayoría de las herramientas empleadas son utilizadas normalmente por administradores, por lo que su presencia en los ordenadores no detonaría ninguna alarma en los sistemas de seguridad de las compañías.
“Esa es la belleza y la asimetría del hackeo: con 100 horas de trabajo, una persona puede deshacer años de operaciones y el gasto multimillonario de la compañía; el hackeo permite a los desamparados pelear y ganar contra corporaciones”, ha declarado Fisher en el informe.
Fisher dirigió sus esfuerzos hacia Hacking Team ya que la compañía ha sido usada por algunos gobiernos que han violado los derechos humanos, aunque lo hizo como una forma de lanzar un mensaje a todas las compañías que colaboran como ciberespías o que entran en conflicto con los intereses de los hacktivistas.
