• IT-Karriere:
  • Services:

IT-Security: Wie Hacking Team gehackt wurde

Eine Anleitung zum Hack des Trojaner-Herstellers Hacking Team ist jetzt veröffentlicht worden. Dazu gibt es einen Aufruf zum Nachahmen der Aktion, die schwerwiegende Folgen für das Unternehmen hatte.

Artikel veröffentlicht am ,
Phineas Fisher erklärt, wie er Hacking Team gehackt haben will.
Phineas Fisher erklärt, wie er Hacking Team gehackt haben will. (Bild: Hacking Team)

Phineas Fisher ist zurück. Mit diesem Pseudonym arbeitet die Person beziehungsweise die Gruppe, die hinter den Hacks der Trojaner-Hersteller Gamma International/Finfisher und Hacking Team steht. In einem langen Pastebin ist jetzt dokumentiert, wie der Hack abgelaufen sein soll. Motherboard hatte zuerst darüber berichtet und die Dokumente vorab eingesehen, ohne allerdings weitere Hinweise zur Echtheit oder zur Überprüfung der Quellen zu haben. Die Anleitung ist in Spanisch verfasst.

Inhalt:
  1. IT-Security: Wie Hacking Team gehackt wurde
  2. Mitarbeiter verwendeten unsichere Passwörter

Zunächst beschreiben die Hacker, welche öffentliche Infrastruktur Hacking Team zum Zeitpunkt des Hacks hatte. Die Webseite des Unternehmens sei mit dem CMS Joomla erstellt worden, außerdem habe es einen Postfix-Server, zwei virtuelle private Netzwerke und mehrere Router gegeben. Ein Scan der verschiedenen Komponenten habe zunächst keine einfachen Sicherheitslücken aufgezeigt. Nach einigen Tagen Reverse Engineering soll aber der initiale Zugang zum System über eine Zero-Day-Schwachstelle in einem der Router gelungen sein.

Schwachstelle in Router ausgenutzt

Details zu dieser Schwachstelle oder dem verwendeten Router werden nicht genannt, da diese noch nicht behoben sei. Nach dem ersten Exploit habe er sich Schritt für Schritt im System vorgearbeitet, schreibt Phineas Phisher. Unter anderem habe er gezielt den Systemadministrator Christiano Potzi ausspioniert, weil er dort weitreichende Zugriffsrechte auf das System vermutet habe. Das interne Netzwerk von Hacking-Team sei als Windows-Domäne aufgebaut gewesen.

Im System soll ein Scan nach NoSQL-Datenbanken mehrere nicht geschützte MongoDB-Datebanken gezeigt haben. In der Vergangenheit waren häufiger falsch konfigurierte MongoDB-Datenbanken teils ungeschützt im Netz aufgetaucht. Diese Datenbanken sollen das Backend für Testinstallationen des Hacking-Team-Trojaners "Remote Control System" gewesen sein. Das Audio-Material in den geleakten Dateien soll aus dieser Quelle stammen.

Synology-NAS ohne Zugriffsschutz

Stellenmarkt
  1. Lidl Digital, Neckarsulm
  2. HEGLA GmbH & Co. KG, Beverungen

Auf andere Daten wurde dem Bericht zufolge über nachlässig konfigurierte Synology-Backupgeräte zugegriffen. Diese waren ohne weitere Authentifizierungsmaßnahmen im lokalen Netzwerk eingebunden und somit ein leichtes Ziel. Auf den Geräten waren unter anderem Backups verschiedener virtueller Maschinen gespeichert.

Andere Informationen waren besser geschützt. Der Quellcode des Remote Control Systems etwa war in einem separaten Netzwerk mit dem Namen "Rete Sviluppo" gehostet. Dieses Netzwerk hat Phineas Fisher nach eigenen Angaben über die Accounts der Administratoren angegriffen - nicht über Psexec, sondern über Windows Management Instrumentation (WMI) und mit einem passenden Metasploit-Modul. Angriffe über Psexec sind zwar in vielen Umgebungen deutlich leichter durchzuführen, werden aber auch häufiger erkannt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Mitarbeiter verwendeten unsichere Passwörter 
  1. 1
  2. 2
  3.  


Anzeige
Mobile-Angebote
  1. 689€ (mit Rabattcode "PRIMA10" - Bestpreis!)
  2. 749€ (mit Rabattcode "PERFECTEBAY10" - Bestpreis!)
  3. 304€ (Bestpreis!)
  4. 274,49€ (mit Rabattcode "PFIFFIGER" - Bestpreis!)

jjfx 21. Apr 2016

Und die Konsequenzen für die Firma waren auch nur marginal. Eigentlich sollte es da...

Crass Spektakel 20. Apr 2016

Solche Semialgorithmischen Passwörter kenne ich auch bei einigen Kunden. So ganz...

ChristophAugenAuf 19. Apr 2016

Richtig, man muss nur sehen, dass hier die Angreifer nicht von trivialen Kennwörtern...

schnickschnack2 19. Apr 2016

ich finds lustig :D Nerd Humor

DerDy 19. Apr 2016

https://www.golem.de/news/hacking-team-eine-spionagesoftware-ausser-kontrolle-1507-115291...


Folgen Sie uns
       


Monkey Island - Titelmusik aller Versionen

Wir haben alle Varianten der Titelmusik im Video zusammengestellt - plus Bonusversion.

Monkey Island - Titelmusik aller Versionen Video aufrufen
Serien & Filme: Star Wars - worauf wir uns freuen können
Serien & Filme
Star Wars - worauf wir uns freuen können

Lange sah es so aus, als liege die Zukunft von Star Wars überwiegend im Kino. Seit dem Debüt von Disney+ und dem teils schlechten Abschneiden der neuen Filme hat sich das geändert.
Von Peter Osteried

  1. Star Wars Disney und Lego legen Star Wars Holiday Special neu auf
  2. Star Wars Squadrons im Test Die helle und dunkle Seite der Macht
  3. Disney+ Erster Staffel-2-Trailer von The Mandalorian ist da

Watch SE im Test: Apples gelungene Smartwatch-Alternative
Watch SE im Test
Apples gelungene Smartwatch-Alternative

Mit der Watch SE bietet Apple erstmals parallel zum Topmodell eine zweite, günstigere Smartwatch an. Die Watch SE eignet sich unter anderem für Nutzer, die auf die Blutsauerstoffmessung verzichten können.
Ein Test von Tobias Költzsch

  1. Apple WatchOS 7.0.3 behebt Reboot-Probleme der Apple Watch 3
  2. Series 6 im Test Die Apple Watch zwischen Sport, Schlaf und Sättigung
  3. Apple empfiehlt Neuinstallation Probleme mit WatchOS 7 und Apple Watch lösbar

Shifoo: Golem.de startet Betatest seiner Karriere-Coaching-Plattform
Shifoo
Golem.de startet Betatest seiner Karriere-Coaching-Plattform

Beratung, die IT-Profis in Job & Karriere effizient und individuell unterstützt: Golem.de startet die Video-Coaching-Plattform Shifoo. Hilf uns in der Betaphase, sie für dich perfekt zu machen, und profitiere vom exklusiven Angebot!

  1. Stellenanzeige Golem.de sucht Verstärkung für die Redaktion
  2. Stellenanzeige Golem.de sucht CvD (m/w/d)
  3. In eigener Sache Die 24-kernige Golem Workstation ist da

    •  /