1 sie 2015

]HT[ - analiza korespondencji: narzędzia inwigilacyjne i analityczne, poufne dokumenty korporacji a nawet informacje niejawne!

1

Od jednego z największych wycieku danych w historii minął już niemal miesiąc, ale opublikowanych informacji i korespondencji jest tak wiele, że ciężko jest nam to wszystko zanalizować tak szybko. Po opracowaniu artykułu o narzędziu RCS Galileo od Hacking Team, przyszedł czas na krótką analizę wiadomości i dokumentów opublikowanych w wycieku. Jest tego naprawdę mnóstwo, a znajdziemy w nim m.in. dokumentacje techniczne (w tym rozwiązań konkurencyjnych firm), umowy o zachowaniu poufności, faktury, przelewy, życiorysy kandydatów, rachunki, zdjęcia, skany paszportów, zgłoszenia helpdesk, dokumenty poufne lub zastrzeżone w odniesieniu do tajemnicy firmy a nawet skany dokumentów opatrzone klauzulą informacji niejawnych. Ale zacznijmy od dokumentów odnoszących się do rozwiązań mających podobny cel jak Remote Control System (RCS) Galileo. 


I. NARZĘDZIA INWIGILACYJNE, DOCHODZENIOWO-ŚLEDCZE ORAZ ANALITYCZNE

W jednej z wiadomości, datowanej na 17.01.2015 r. przeczytamy o nietypowej propozycji dołączenia do zespołu Hacking Team. Osoba przedstawiająca się jako "Ali kh" lub "Princeali", jest zainteresowana pracą we włoskim zespole, ale nie przesyła w załączeniu swojego CV. Na dowód swoich umiejętności, załącza.... screeny z opracowanego przez siebie narzędzia o nazwie New Rat 2014. Jeśli wierzyć załączonym obrazkom, narzędzie to choć nie jest aż tak bardzo złożone jak RCS Galileo, potrafi wykraść od ofiary wiele danych, zobaczcie zresztą sami:




Nie wiadomo oczywiście w jaki dokładnie sposób haker infekuje swoje ofiary narzędziem New Rat 2014, ale wg powyższych screenów, może wykraść informacje zarówno z komputerów PC jak i telefonów GSM. Wiadomość hakera skierowaną do HT można znaleźć pod tym adresem: https://wikileaks.org/hackingteam/emails/emailid/345603

Kolejnym produktem podobnym do RCS Galileo jest dość znane już ogromne narzędzie angielsko-niemieckiej korporacji Gamma Group, mowa oczywiście o FinFisher/FinSpy. Jest to spora konkurencja włoskiego zespołu, więc w korespondencji znajdziemy o nim wiele informacji, począwszy od instrukcji użytkownika, prezentacji, dokumentacji technicznej aż po tabelkę zawierającą przykładowe ceny poszczególnych modułów. Nie jest to jednak praktycznie nic ponad to, co już zostało opublikowane. Nie tylko Hacking Team  miał problem z odpowiednim zabezpieczeniem swoich danych. Przypominamy, iż po ataku na Gamma Group, w dniu 06.08.2014 r. zostało opublikowane w Internecie około 40 GB danych, w tym kody źródłowe oprogramowania FinFisher (źródło).


Gwoli ścisłości i przypomnienia polecamy zapoznać się z kilkoma materiałami zawartymi w poniższych odnośnikach:

https://wikileaks.org/hackingteam/emails/fileid/818658/365359
https://wikileaks.org/hackingteam/emails/fileid/233468/101910
https://wikileaks.org/hackingteam/emails/fileid/1834/724

W prezentacji (z sierpnia 2013 r.) od HT dotyczącej RCS Galileo, przeczytamy także o przewadze włoskiego narzędzia nad FinFisher:
https://wikileaks.org/hackingteam/emails/fileid/728037/329191


Kolejnym narzędziem zbudowanym w celu prowadzenia inwigilacji jest niemiecki Remote Stealth Surveillance Suite (RSSS), dostarczany przez Troy Software Division. W wiadomości datowanej na 13.02.2015 r. znajdziemy broszurę reklamową wyżej wymienionego produktu, dostępna jest ona pod tym adresem:
https://wikileaks.org/hackingteam/emails/fileid/42073/19282


Można z niej wyczytać, iż RSSS został opracowany przez specjalistów bezpieczeństwa IT, skierowany jest do instytucji i agencji wywiadowczych odpowiedzialnych za bezpieczeństwo. Posiada specjalną technologię o nazwie "Agressor", która podważa ruch pomiędzy celem a dostawcą usług internetowych (ISP), a wdrażana jest na zaufanych i najczęściej odwiedzanych stronach internetowych. To pozwala na wstrzykiwanie agenta bezpośrednio u ISP. Brzmi znajomo? Tak, można stwierdzić, iż jest to technologia bliźniacza w nawiązaniu do narzędzia Network Injector od Hacking Team. Co więcej, twórcy RSSS twierdzą, iż ich narzędzie (agent) jest niewykrywalny dla WSZYSTKICH antywirusów dostępnych obecnie na rynku. RSSS współpracuje z systemami operacyjnymi Windows, Linux, Mac OSX oraz Android.

W wiadomości z dnia 30.07.2014 r. przeczytamy o specjalnej, rządowej wersji narzędzia (aplikacji) Tracer+ opracowanego przez firmę Killer Mobile Software:
https://wikileaks.org/hackingteam/emails/emailid/495916



Jest to narzędzie, które umożliwia podsłuch oraz śledzenie użytkowników telefonu iPhone bez wykonanego jailbreak'a. Jeden z pracowników Killer Mobile Software wspomina o specjalnej wersji aplikacji, przeznaczonej dla klientów rządowych, która może być instalowana  bezpośrednio poprzez URL. Aplikacja oferuje odczyt wiadomości tekstowych, historii połączeń, historii odwiedzanych stron WWW, kontaktów, zdjęć, czatów z: Skype, Viber, Telegram (nawet tych szyfrowanych), Facebook, BBM, Whatsapp a ponadto oferuje możliwość przeprowadzania zdalnych poleceń na telefonie ofiary oraz odczyt lokalizacji GPS.

Kolejna wiadomość, która zawiera informacje o ciekawym systemie związanych z telefonią komórkową GSM to ta datowana na 07.04.2015 r. i możemy w niej przeczytać o systemie pozycjonowania telefonów komórkowych GeoMatrix:
https://wikileaks.org/hackingteam/emails/fileid/45152/20770
Animacja przedstawiająca pozycjonowanie celu przez system GeoMatrix

System ten bazuje na protokole Signaling System 7 (SS7) i umożliwia namierzenie, śledzenie oraz manipulowanie GSM/UMTS/3G/4G wybranego celu na całym świecie z dużą dokładnością w czasie rzeczywistym, a wszystko to poprzez interfejs WWW. 


Teraz czas na rozwiązania rodem z Izraela i są one powiązane z korporacją NICE, która opracowała platformy NiceTrack Citer 360°, NiceTrack Target 360° oraz NiceVision Video Analytics. Narzędzia te skierowane są do organów ścigania, agencji wywiadowczych i organizacji związanych z szeroko pojętym bezpieczeństwem, a opracowano je w celach dochodzeniowych, śledczych i analitycznych. 



Narzędzia te wykorzystywane są do kolekcjonowania informacji poprzez działania SIGINT oraz OSINT, a więcej przeczytacie w angielskojęzycznym materiale, dostępnym tutaj: 
https://wikileaks.org/spyfiles/files/0/148_NICE-201110-BROCHURE.pdf


Następnym izraelskim rozwiązaniem jest narzędzie MABIT korporacji MAGEN 100, które opracowano dla policji, wywiadów, rządów i wojska, aby m.in. poznać modus operandi obranych celów. Materiał o narzędziu MAGEN dostępny jest w korespondencji z dnia 09.04.2015 r.: https://wikileaks.org/hackingteam/emails/fileid/20792/9628



Według producenta, rozwiązanie kolekcjonuje mnóstwo informacji ze smartfonów i nie pozostawia żadnych śladów na urządzeniach obranych celów. Ponadto tworzy profil użytkownika oraz uzyskuje dostęp do poczty elektronicznej opartej na rozwiązaniach Gmail, Hotmail oraz Exchange, a jako nieliczne korzysta z rozwiązań technicznych wykorzystujących chmurę.


NSO Pegasus jest kolejnym oprogramowaniem opracowanym w Izraelu, stworzonym w celach wywiadowczych oraz do zdalnego pozyskiwania danych, głównie z urządzeń GSM (obsługuje także LTE). Według korespondencji Hacking Team, licencja na to narzędzie kosztuje od 10 000 000 $ do 16 000 000 $, dzięki czemu jest to jedno z najdroższych (jeśli nie najdroższe) rozwiązań tego typu oferowanych obecnie w sprzedaży.


Schemat instalacji agenta NSO Pegasus

Architektura systemu NSO Pegasus

NSO Pegasus - interfejs użytkownika i moduł przechwytywania rozmów

NSO Pegasus - interfejs użytkownika i moduł lokalizacji

NSO Pegasus wykorzystuje wiele nowatorskich rozwiązań, w tym mechanizm auto-destrukcji. Kompletne wdrożenie tego rozwiązania u klienta ma trwać nie dłużej niż 15 tygodni. Według wiadomości z końca 2014 roku, obsługuje on urządzenia oparte na Androidzie, iOS, Blackberry i Symbianie, ponadto po działaniach swojego agenta nie zostawia żadnych śladów na urządzeniu ofiary.



PicSix to kolejna izraelska korporacja, która posiada w swojej ofercie sporo rozwiązań umożliwiających podsłuch, lokalizowanie, zakłócanie lub manipulację urządzeń mobilnych. Urządzenie rackowe P6-AS-2B posiada dwa moduły BTS (mogą pracować w dwóch różnych pasmach GSM) i umożliwia przechwytywanie połączeń, wiadomości tekstowych oraz identyfikację (algorytmy A5/0, A5/1 i A5/2). 

Jest to dość rozbudowany IMSI-catcher, o rozmiarze 2U i wadze 5,7 kilograma, który automatycznie skanuje i pozwala klonować istniejącą sieć. Posiada wbudowany deszyfrator algorytmu A5/2 i możliwość nagrywania rozmów na dysk twardy. Przechwytuje telefony komórkowe i identyfikuje je poprzez IMSI, IMEI, TMSI oraz MSISDN. W swojej ofercie PicSix posiada również innego rodzaju urządzenia związane z telefonią komórkową, od jammerów, czyli zagłuszaczy sygnału (w formie mobilnej: plecaka oraz walizki lub stacjonarnej: skrzynki) aż po rozwiązania aktywne i pasywne do podsłuchu telefonii komórkowej. 


W ofercie firmy znajdziemy też rozwiązania do zagłuszania sygnału w całych budynkach, które są stosowane np. w więzieniach - do 512 zagłuszaczy w pasmach od 851 do 2690 MHz, które obsługują CDMA/TDMA, GSM, E-GSM, UMTS/3G, Wi-Fi/BT oraz 4G/LTE.
Więcej technicznych informacji znajdziecie w tym dokumencie:
https://wikileaks.org/hackingteam/emails/fileid/517325/239481


Wracamy teraz do Włoch i bierzemy pod lupę firmę RCS S.p.A, która według poufnych materiałów (z punktu widzenia tajemnicy firmy) z korespondencji Hacking Team tworzy kilka platform: SFERA, INVESTIGO, IBIS, @TIP, xDR, MIPS, TIP oraz MITO3.  

 

SFERA to narzędzie zawierające siedem modułów, opracowane w celu analizy danych, odpowiadające na fundamentalne pytania: kto? co? kiedy? gdzie? oraz dlaczego?. INVESTIGO to oprogramowanie stworzone aby kolekcjonować i analizować wszelkiego typu informacje, głownie z portali społecznościowych, a dokument z dokładniejszym opisem narzędzia INVESTIGO znajdziecie tutaj:
https://wikileaks.org/hackingteam/emails/fileid/518949/240084
IBIS to system blokujący w czasie rzeczywistym dostęp do specyficznych stron WWW, natomiast @TIP to narzędzie opracowane w celu pasywnego oraz aktywnego podsłuchu sieci oraz jej infekowania (również wykorzystując ataki man-in-the-middle). xDR i TIP to z kolei obszerne rozwiązania do podsłuchu sieci Internet a MIPS wykorzystuje nawet instalację u operatora sieci aby pozyskiwać informacje. Ostatnie z narzędzi, MITO3 monitoruje oraz gromadzi wszystkie informacje umożliwiając ich zarządzanie.


Amerykańskie oprogramowanie SNAPTRENDS bazuje na rozwiązaniu SaaS w chmurze, a jego funkcjonalności skierowane są stricte w media społecznościowe. Według amerykańskiej firmy, narzędzie jest obecnie najbardziej zaawansowaną platformą tego typu na świecie, a to co odróżnia ją od innych podobnych rozwiązań to zaawansowane i opatentowane algorytmy przetwarzania i gromadzenia danych. Informacje z mediów społecznościowych mogą być zbierane zarówno z bardzo małych obszarów, jak obiekty sportowe jak i ogromnych, takich jak kraj, kontynent czy cały świat. Narzędzie zostało opracowane w celu analizy i lepszego zrozumienia trendów panujących w mediach społecznościowych co pozwala korporacjom na podejmowanie bardziej świadomych decyzji i bardziej skutecznych działań. 
Starszy interfejs SNAPTRENDS z widoczną "mapą ciepła" i obszarem analizy
SNAPTRENDS kierowany jest do: polityków (operacje związane z wyborami, kandydatami, partią), organizacji związanych z bezpieczeństwem publicznym, rządów państw, korporacji, firm konsultingowych, dziennikarzy itp. Narzędzie umożliwia monitoring wszystkich najbardziej popularnych mediów społecznościowych, tj.: Twitter, Instagram, Facebook, YouTube, Foursquare oraz Vine. Ponadto jest w stanie śledzić i analizować aktywności w serwisach takich jak: Google+, Wordpress, LinkedIn, Blogger, Ask.fm, Pinterest, Flickr, Thumblr, Kik oraz SnapChat.
Mapa sieci (relacji) na przykładzie użytkownika serwisu Twitter
Nowy interfejs SNAPTRENDS


II. POUFNE DOKUMENTY I PREZENTACJE KORPORACJI, SKANY DOKUMENTÓW NIEJAWNYCH

W korespondencji firmy Hacking Team opublikowanych w serwisie WikiLeaks znajdziemy sporo różnego rodzaju prezentacji lub dokumentacji opatrzonych klauzulą poufności lub tajemnicą firmy, a nawet skany dokumentów opatrzonych klauzulą informacji niejawnych, co oczywiście w tym odniesieniu jest po prostu niedopuszczalne. Poniższe przykłady mogą stanowić pewną przestrogę m.in. przed brakiem zachowania zasady wiedzy niezbędnej (koniecznej), nieprawidłowych działaniach pracowników, nie mówiąc już o odpowiednim zabezpieczeniu infrastruktury firmy.

Dokumenty firmy Providence, w tym prezentacja zawierają informacje dotyczące metod i narzędzi oraz rozwiązań w działalności inwigilacyjnej i działaniach taktycznych, a także kursów i prowadzonych w tym zakresie specjalistycznych szkoleń. Materiały są bardzo interesujące:
Doskonałe przykłady przygotowanych przedmiotów: sztucznych skał, kawałków drzewa,
cegły a nawet zastosowanie kamuflażu kabla.
Wszystko to może być wykorzystane w działalności szpiegowskiej.


Praktyczne przykłady zastosowania


Kompletna prezentacja dotycząca korporacji Providence i jej rozwiązań:
https://wikileaks.org/hackingteam/emails/fileid/20786/9625


W materiałach opublikowanych przez WikiLeaks znajdziemy również poufne dokumenty i prezentacje wielu korporacji, poniżej prezentujemy niektóre przykłady:







Na koniec zostawiliśmy skany dokumentów zawierające informacje niejawne, które nigdy nie powinny znaleźć się w zasobach sieciowych firmy Hacking Team. Pierwszy z nich dotyczy dokumentu Prezesa Rady Ministrów Włoch o klazuli ZASTRZEŻONE, posiadającego w załączeniu specyfikację techniczną:



Drugi niejawny dokument, który udało się nam znaleźć pochodzi z sekretariatu wywiadu narodowego Ekwadoru i posiada klauzulę... TAJNE:




III. POZOSTAŁE INTERESUJĄCE MATERIAŁY:

Pełna poufna licencja Google Enterprise Maps i Earth:
https://wikileaks.org/hackingteam/emails/fileid/208870/92316

Dokument dotyczący backdoora na telefony komórkowe oparte na Symbian OS:
https://wikileaks.org/hackingteam/emails/fileid/48384/22170

Prezentacja systemu monitoringu sieci WiFi wykorzystywanej na jednym z lotnisk:
https://wikileaks.org/hackingteam/emails/fileid/64161/32883

Ciekawy materiał dotyczący działalności systemu RCS od HT w Etiopii:
https://wikileaks.org/hackingteam/emails/fileid/507077/236963

Dokument firmy VUPEN, z bardzo dokładnym, technicznym opisem podatności :
https://wikileaks.org/hackingteam/emails/fileid/224402/97945

Obszerna analiza techniczna malware sKyWIper a.k.a. Flame a.k.a. Flamer:
https://wikileaks.org/hackingteam/emails/fileid/806368/361903


W listopadzie 2013 roku Hacking Team pod swoją siedzibą miało niemałe problemy z osobami protestującymi przeciwko firmie, doszło nawet do dewastacji mienia:

 https://wikileaks.org/hackingteam/emails/fileid/67965/34787


IV. ZAKOŃCZENIE 

Wszystkie materiały przedstawione w tym artykule pochodzą tylko i wyłącznie z wycieku od zespołu Hacking Team. Na podstawie tej niewielkiej części z nich, przedstawionych w tym i poprzednim artykule, można dojść do kilku wniosków. Pierwszy z nich jest taki, iż bezpieczeństwo infrastruktury teleinformatycznej firmy jest rzeczą ogromnie ważną. Drugi to taki, że pieniądze dają praktycznie nieograniczony dostęp do narzędzi, gdzie niekoniecznie mogą one zostać wykorzystane zgodnie z prawem i tylko przez odpowiednie służby, które mają zapewnić bezpieczeństwo państwa.


Źródło:
https://wikileaks.org
Opracowanie własne.

1 komentarze:

Anonimowy pisze...

Wyczerpująco, konkretnie, ... z uwagami, z dygresjami, z odniesieniami > pomocne, nowatorskie, precyzyjne.
Dzięki Panowie! Nic tylko przyklasnąć i oczekiwać na kolejne.

Prześlij komentarz

 
Do korespondencji zalecamy nasz klucz PGP.
Design by ThemeShift