上周末,一支名为“黑客团队”的意大利付费黑客团队的内部系统遭受了令人尴尬的攻击。

这次攻击导致大约400GB的数据被释放,这些数据包括内部文档、合同、客户记录、密码、电话讨论、源代码和软件等。

虽然大多数人可能从未听说过黑客团队,或者知道组织执行的功能类型,但是,黑客攻击和后续发布其内部信息是讽刺意味的 - 如果没有略微有趣 - 考虑到计算机入侵是他们业务的本质。

看看这段宣传视频,了解一下他们的商业模式:

根据内部文件,这个位于米兰的团队专门从事“攻击性安全软件解决方案的开发”,拥有“攻击、屏蔽、控制和监控个人设备,如个人电脑和智能手机”的能力。

HT1

简而言之,该集团开发和销售恶意软件的目的是针对预期目标公开信息。

内部记录表明,该组织主要向执法/政府组织销售该软件,尽管可以找到从硬件采购到小册子和宣传笔的发票,这些发票可以确定一些与这些机构没有联系的世界性组织。

黑客团队的旗舰产品是“远程控制系统”(简称RCS)软件,本质上,它是一个信息窃取者,能够阻止检测并从被监视的人那里收集大量个人信息。

营销材料中有广泛的支持RCS软件的操作系统和平台。支持所有主要的操作系统和平台:Windows, OSX, Linux, Android,黑莓,iOS, Symbian和Windows phone。

HT2

RCS具有富有的监控功能,可以收集或监控个人计算机或手机上的大多数组件。该软件能够利用系统,执行代码,销毁文件,并监视外围设备,应用程序和通信数组。下面的列表表示RCS的一些功能。

黑客团队4.1

对于熟悉此类软件的人来说,RC基本上只不过是远程访问木马(RAT)。大鼠(也称为“后门”)已经存在多年,有些人甚至可能熟悉后面的名称,例如后孔2000,sub7和毒物常春藤。

在所有现实中,作为RCS套件的一部分包含的功能不是唯一的,软件执行的操作与我们每天看到的恶意软件变体都没有差别不同。

键盘记录、截图收集、远程文件执行和监视都是常见的恶意活动,在大多数特洛伊木马、后门、键盘记录程序和机器人程序中都可以看到。

黑客团队培训材料甚至多次提到RCS软件是“后门”这一事实。

HT5

RCS管理软件旨在隐藏在一系列在线匿名者后面。这些匿名者充当软件通信的代理,从而允许攻击者从分析工具中掩盖它们的位置。多个匿名器可以级联,称为“匿名链”,它会在到达最终目的地之前使流量“跳”到多个目的地。

这种级联效应使得分析工作更加困难。这个匿名链的一个很好的类比是1992年的电影《运动鞋》(Sneakers)中的场景(这部电影很棒),片中“惠斯勒”描述了他试图通过多个中继站拦截一个电话,以阻止美国国家安全局的追踪行动。

此图概述了RCS服务的总体架构,其中显示了匿名网络背后的RCS收集节点和管理站。由多个平台组成的各种目标被显示在公共互联网上。

HT6

RCS软件的攻击向量与其他恶意软件分发者不一样。黑客团队的方法依赖于“注入技术”、0天/1天利用、离线硬件安装(USB、CD-ROM)和社会工程的组合,以促进恶意有效负载的交付。

“注射技术”是指RCS注入代理设备(RCS IPA),其被描述为“开发的令人反感安全设备,以便执行遥控系统(RCS)的远程安装”,并促进监控所有HTTP连接。'使用中间人攻击技术',RCS IPA可以配置为将代码或可执行文件部署到指定的IP范围或用户。

HT7

远程移动安装(RMI)是另一种面向移动设备的注入技术。RMI旨在将RCS后门安装到移动设备上,而无需利用任何漏洞。

该软件通过利用wap推送消息,这是所有GSM设备的标准功能。为了总结攻击,将特制的WAP-Push消息发送到设备,该设备自动导致浏览器打开。

该消息被编码为打开自定义URL,该URL试图自动将后门安装到手机上。

默认情况下,Windows手机和BlackBerry在此操作之前要求用户确认。如常见问题解答所示,最坏的情况是用户将以对话框呈现,从而需要社交工程以欺骗用户。

HT8

知识库文章包含了客户在社会工程方面的尝试的有用信息。一些“最佳实践”文件揭示了“越狱”iphone和Android设备的建议,以及其他有用的技术,如短信欺骗。社会工程的过程也很重要,可以列为成功的三个要素之一。

HT9

HT10

最有趣的是,该组织声称在移动和PC平台上拥有一系列以前未公开的漏洞,这些漏洞适用于广泛使用的应用程序,如浏览器和Office产品,以帮助客户成功交付RCS软件。

黑客团队维护一个可供使用的0天和1天攻击的存储库,并声称为存在的漏洞编写攻击,尽管没有公开发布概念证明。

RCS控制台允许客户快速选择所需的漏洞,并生成适合预期目标的URL。营销材料声称,漏洞利用门户将始终包含至少三个0天漏洞利用。

HT11HT12

本集团进一步确保了对流行防病毒计划的RCS计划的常规分析成功。知识库文章揭示了对针对各种知名程序测试安装能力的强大努力。

如果不理解以下数据的上下文,Malwarebytes似乎会导致RCS错误,正如我们的知识库文章中的注释所指出的那样:必威平台APP未经测试系统积极的失败”。

HT13
附:黑客小组,仅供参考,MalwareBytes是一必威平台APP个词

文件还显示,黑客团队至少有一次请求一个主要的反病毒测试机构的服务,以帮助确定RCS软件的检测率。

虽然有关文件超过一岁,但其存在展示了组织的承诺,以确保隐身能力仍然存在。

HT14

正如三个成功点所表明的那样,感染媒介组合、社会工程和一点好运通常是成功地让毫无戒心的受害者妥协所需要的。

而且,有了Hacking Team的有用工具库、恶意软件样本、利用、社会工程建议和指导方针,很难不想象该组织保持了相当高的成功水平。

不幸的是,他们的内部数据被披露,这表明软件不仅可以工作,而且世界各地的许多政府机构都对这种技术感兴趣。

While we’re all free to have our own opinions of the validity of such organizations and surveillance tools, the one thing that is for certain is that regardless of the intent of the user, unpatched software vulnerabilities can pose a danger to everyone on the internet.

黑客团队声称他们保存了一组未发布的0天漏洞,这一说法令人担忧。尽管他们的意图是好的,但当世界上只有很少的人知道某个特定主题的细节时,这似乎是一件稀罕的事。

假设它们是唯一知道特定利用的人可能有点天真。这不是太难想象如果他们能够找到漏洞,那么它也至少有一些其他人能够提供它。

此类漏洞能够从个人和企业中吞噬数百万美元,并允许此类漏洞仍然存在,而无论具有合法的商业收益或国家赞助的间谍活动,对我们的风险构成了风险。