意大利黑客组织被黑事件后续报道

  上次我们已经介绍过,意大利黑客组织 HackingTeam 公司被黑,这是一家从事监视技术的公司。众所周知,自从斯诺登事件后。人们对被监视可谓深恶痛绝,HackingTeam 被黑应该也是在情理之中。这次,黑客的手法也算是比较特别,不仅成功获取了 HackingTeam 的数据,还将这 400 GB 数据放在网上供人下载。目前,HackingTeam 的官方网站已经能够访问,但似乎事情还没有结束,这 400 GB 数据还在网上传播。
  这次的苦主 Hacker Team 位于意大利米兰,而且这次不仅是公司服务器被黑,连公司的官方推特也沦陷了。黑客取得了他们的推特帐号后,还特意用他们公司的语气,发推文发布了高达 400 GB 的 torrent 档案。目前还没有人宣称这次事件负责。

  事情发生后,Hacker Team 员工 Christian Pozzi 曾发文警告推特用户,希望他们不要下载发布的档案,称其中有恶意程序。有趣的是,不久后 Christian Pozzi 的帐户就消失了,但目前尚不知道是本人迫于压力自行关闭的,还是被检举后推特官方将其关闭的。当然,也不排除是被人黑了后关闭的。以上信息来自于这里(英文)
  以下是关于这种事的后续报道,翻译自 CSO 的一篇文章(原文见本页末),因图片太多,这里没有转贴,请大家看原文。

  事件跟进 1:

  Christopher Soghoian 表示,基于发布的种子文件,Hacking Team 的客户来自韩国、哈萨克斯坦、沙特阿拉伯、阿曼、黎巴嫩和蒙古。然而,该公司仍坚持自己并未与这些国家有业务往来。

  事件跟进 2:

  研究人员已开始发布从种子文件中解析出的信息。其中有一张 58000 欧元的发票,付款方是埃及,所购买的物品是 RCS Exploit Portal。

  事件跟进 3:

  下面的视频是 Hacking Team 顶尖软件『达芬奇』的一则商业广告。
  视频地址:https://www.youtube.com/watch?v=R63CRBNLE2o(需科学上网)

  事件跟进 4:

  上周日晚泄漏的资料中,还有与埃塞俄比亚的过渡政府总统 Meles Zenawi(2012 年离世)的基金会(MZF)有关的几封邮件,其中 Biniam Tewolde 对 Hacking Team 表示感谢,称赞在对重要目标攻击上做出卓有成效的帮助。

  在邮件发出的时间段,也就是总统去世八个月后,Tewolde 曾注册了八个不同的 MZF 相关域名。根据邮件上下文推断,再考虑到这些域名突然出现又消失的情况,很可能这些域名都是为了入侵目标的所进行的网络钓鱼活动,而那个重要目标究竟是谁仍旧不得而知。

  Hacking Team 泄漏的资料中有一张支票显示:埃塞俄比亚曾向 Hacking Team 支付了 100 万比尔(埃塞俄比亚货币),用于购买其远程控制系统、专业服务与通讯设备。

  事件跟进 5:

  根据上周日晚攻击者泄漏来自 Hacking Team 的内部文件,Hacking Team 的客户来自以下地区:

  埃及、埃塞俄比亚、摩洛哥、尼日利亚、苏丹、智利、哥伦比亚、厄瓜多尔、洪都拉斯、墨西哥、巴拿马、美国、阿塞拜疆、哈萨克斯坦、马来西亚、蒙古、新加坡、韩国、泰国、 乌兹别克斯坦、越南、澳大利亚、塞浦路斯、捷克共和国、德国、匈牙利、意大利、卢森堡、波兰、俄罗斯、西班牙、瑞士、巴林、阿曼、沙特阿拉伯、阿联酋。

  这张清单,还有随后 48 万欧元的支票有力驳斥了 Hacking Team 关于自己从未与苏丹有生意往来的说法。根据相关报道,苏丹安全部队曾多次暴力镇压抗议者的示威行动,在 2013 年便有超过 170 人死亡。

  事件更新 6:

  在 Hacking Team 事件中,最新进展包括一份文件,列出了其与各顾客之间的合同维系情况。这份文件是 SynAckPwn 以 Salted Hash 形式分享的,其中俄罗斯和苏丹都被列为 Hacking Team 的客户,但是被标记为『非官方支持』,而非『活跃』或『过期』状态。

  这份维护追踪清单上的客户名单与早前更新中提供的另一份客户名单类似。值得一提的是:美国国防部被标记为『不活跃』状态,而缉毒署(DEA)的状态是续签。文件还显示:FBI 与 HT 的维护合同在 2015 年 6 月 30 日之前一直都是『活跃』状态。

  一份 2010 年 Hacking Team 与西班牙国家情报中心的合同也在其中。根据记录显示,在 2016 年 1 月 31 日前他们的维护合同状态都是『活跃』。在合同签订之际,HT 涉及的总金额高达 340 万欧元。

  此次由于安全工程师存储在 Firefox 的密码遭到泄漏,Hacking Team 的 CEO Christian Pozzi 个人信息也因此失窃。文件中显示的密码都很简易,属于容易被猜到的格式,或者安全工程师及黑客都知道的密码。网站索引包括社交媒体(Live, Facebook, LinkedIn)、金融(银行、Paypal)及相关网络(带有默认证书的路由器)。

  但是,Pozzi 并非唯一密码失窃之人,由于合同与配置相关的文件在网络流传,Hacking Team 的客户密码也一并失窃。不幸的是,那些失窃密码与 Firefox 文件中发现的密码一样保密性很差。

  下面是其中一些:
  HTPassw0rd
  Passw0rd!81
  Passw0rd
  Passw0rd!
  Pas$w0rd
  Rite1.!!

  事件跟进 7:

  根据 SynAckPwn 发布的泄密文件,客户信息中涵盖大量配置与访问文件。根据这些数据,似乎 Hacking Team 已经告知其埃及与黎巴嫩的客户使用来自美国与德国的 VPN 服务。

  英文原文: Hacking Team hacked, attackers claim 400GB in dumped data

  【补充】对 Hacker Team 资料关注的朋友请留意这里:
  从 Hacker Team 泄露的 selinux4_exploit.c:点击这里下载
  从 Hacker Team 泄露的 MS09-001 的 PoC:点击这里下载
  Hacking Team 被泄露资料的精华:点击这里下载
  完整的种子:点击这里下载

欢迎留下宝贵意见和建议!