Original-URL des Artikels: https://www.golem.de/news/it-security-wie-hacking-team-gehackt-wurde-1604-120394.html    Veröffentlicht: 18.04.2016 17:37    Kurz-URL: https://glm.io/120394

IT-Security

Wie Hacking Team gehackt wurde

Eine Anleitung zum Hack des Trojaner-Herstellers Hacking Team ist jetzt veröffentlicht worden. Dazu gibt es einen Aufruf zum Nachahmen der Aktion, die schwerwiegende Folgen für das Unternehmen hatte.

Phineas Fisher ist zurück. Mit diesem Pseudonym arbeitet die Person beziehungsweise die Gruppe, die hinter den Hacks der Trojaner-Hersteller Gamma International/Finfisher und Hacking Team steht. In einem langen Pastebin ist jetzt dokumentiert, wie der Hack abgelaufen sein soll. Motherboard hatte zuerst darüber berichtet und die Dokumente vorab eingesehen, ohne allerdings weitere Hinweise zur Echtheit oder zur Überprüfung der Quellen zu haben. Die Anleitung ist in Spanisch verfasst.

Zunächst beschreiben die Hacker, welche öffentliche Infrastruktur Hacking Team zum Zeitpunkt des Hacks hatte. Die Webseite des Unternehmens sei mit dem CMS Joomla erstellt worden, außerdem habe es einen Postfix-Server, zwei virtuelle private Netzwerke und mehrere Router gegeben. Ein Scan der verschiedenen Komponenten habe zunächst keine einfachen Sicherheitslücken aufgezeigt. Nach einigen Tagen Reverse Engineering soll aber der initiale Zugang zum System über eine Zero-Day-Schwachstelle in einem der Router gelungen sein.

Schwachstelle in Router ausgenutzt

Details zu dieser Schwachstelle oder dem verwendeten Router werden nicht genannt, da diese noch nicht behoben sei. Nach dem ersten Exploit habe er sich Schritt für Schritt im System vorgearbeitet, schreibt Phineas Phisher. Unter anderem habe er gezielt den Systemadministrator Christiano Potzi ausspioniert, weil er dort weitreichende Zugriffsrechte auf das System vermutet habe. Das interne Netzwerk von Hacking-Team sei als Windows-Domäne aufgebaut gewesen.

Im System soll ein Scan nach NoSQL-Datenbanken mehrere nicht geschützte MongoDB-Datebanken gezeigt haben. In der Vergangenheit waren häufiger falsch konfigurierte MongoDB-Datenbanken teils ungeschützt im Netz aufgetaucht. Diese Datenbanken sollen das Backend für Testinstallationen des Hacking-Team-Trojaners "Remote Control System" gewesen sein. Das Audio-Material in den geleakten Dateien soll aus dieser Quelle stammen.

Synology-NAS ohne Zugriffsschutz

Auf andere Daten wurde dem Bericht zufolge über nachlässig konfigurierte Synology-Backupgeräte zugegriffen. Diese waren ohne weitere Authentifizierungsmaßnahmen im lokalen Netzwerk eingebunden und somit ein leichtes Ziel. Auf den Geräten waren unter anderem Backups verschiedener virtueller Maschinen gespeichert.

Andere Informationen waren besser geschützt. Der Quellcode des Remote Control Systems etwa war in einem separaten Netzwerk mit dem Namen "Rete Sviluppo" gehostet. Dieses Netzwerk hat Phineas Fisher nach eigenen Angaben über die Accounts der Administratoren angegriffen - nicht über Psexec, sondern über Windows Management Instrumentation (WMI) und mit einem passenden Metasploit-Modul. Angriffe über Psexec sind zwar in vielen Umgebungen deutlich leichter durchzuführen, werden aber auch häufiger erkannt.

Mitarbeiter verwendeten unsichere Passwörter

Ein im Netzwerk installierter Keylogger offenbarte, dass die Hacking-Team-Mitarbeiter bei sicheren Passwörtern noch Nachhilfe brauchen könnten: Unter den Passwörtern sind P4ssword, Ht2015! Und L0r3nz0123!.

In dem Dokument finden sich außerdem Angaben zur Motivation von Phineas Fisher. Wie schon bei den Script-Kiddies, die die E-Mail-Konten hochrangiger US-Geheimdienstler hackten, sind darunter auch revolutionäre Sprüche. Der Hack wird den Menschen gewidmet, die bei der Stürmung der Armando-Diaz-Schule in Genua während der G8-Proteste im Jahr 2001 verletzt wurden.

Hacking Team wollte sich zu der Veröffentlichung auf Anfrage von Motherboard wie zu erwarten nicht einlassen. Firmensprecher Eric Rabe sagte: "Alle Kommentare sollten von der italienischen Polizei kommen, die den Hack des Hacking Teams untersucht. Kein Kommentar von dem Unternehmen also."

Unternehmen versucht Neustart

Nach dem Hack hat das Unternehmen seine gesamte Infrastruktur neu aufgesetzt. Außerdem soll eine komplett neue Version der Trojaner-Software entwickelt worden sein. Vermutete Samples der Malware für Mac OS X sind bereits aufgetaucht. Vor wenigen Wochen wurde außerdem bekannt, dass das Unternehmen seine globale Exportlizenz verloren hat. Ohne Genehmigung darf die Software damit nur noch innerhalb der EU vertrieben werden, andere Exporte müssen bei den italienischen Behörden jetzt zuvor angemeldet und genehmigt werden.

Der ehemalige Hacking-Team-Angestellte Guido Landi twitterte nach der Veröffentlichung über den Text. Ihm und fünf weiteren Angestellten wird von seinem ehemaligen Arbeitgeber vorgeworfen, vertrauliche Informationen weitergegeben zu haben. Von der Veröffentlichung zeigt er sich erleichtert: "Lass uns sehen, was der Staatsanwalt davon denkt." Phineas Fisher fordert unterdessen weiter dazu auf, es ihm gleichzutun: "Hacking ist ein mächtiges Tool, nutzen wir es", schreibt er in dem Posting.  (hg)


Verwandte Artikel:
Handy-Ortung: Datenschützer warnen vor Risiken übermäßiger Überwachung   
(14.08.2018, https://glm.io/135991 )
China: Apple und Foxconn haben zu viele Leiharbeiter beschäftigt   
(09.09.2019, https://glm.io/143724 )
Überwachung: Tutanota musste E-Mails vor der Verschlüsselung ausleiten   
(13.11.2019, https://glm.io/144965 )
Coinbase: Kryptobörse trennt sich von Ex-Hacking-Team-Mitarbeitern   
(06.03.2019, https://glm.io/139818 )
Staatstrojaner: Hacking Team darf nur noch in Europa verkaufen   
(06.04.2016, https://glm.io/120178 )

© 1997–2020 Golem.de, https://www.golem.de/