ハッカーはハッキングチームの妥協について話しました

ハッキングチームのサイバーグループが侵害されてからほぼ1年後、事件の詳細、つまり誰がその背後にいたのか、そしてそのような行動の動機がついに判明しました。 マザーボードは、HTの侵害の詳細を公開しました。これは、ハッカー自身のpastebinリソース（スペイン語）に表示された情報に基づいています。 仮名フィニアスフィッシャーの下の男は、400GBの機密データを含むアーカイブを取得するプロセスを詳細に説明しただけでなく、政治的な理由と動機付けももたらしました。







フィニアスフィッシャーによると、ハッキングは、ハッキングチームのサービスが人権侵害のためにrights報機関によって使用されたという事実に基づいています。 さまざまな国の特別なサービスがHTの主なクライアントだったことを思い出してください。 1人の男性がハッキングに参加し、100時間の作業を要しました。

これがハッキングの美しさと非対称性です。わずか100時間の作業で、1人で数百万ドルの会社の仕事を取り消すことができます。 ハッキングは、負け犬に戦い、勝つチャンスを与えます。

ハッカーは、漏洩したサイバーグループの文書は、「倫理的ハッキング」という用語を悪用し、自分の意見では妥協に値する人々にサービスを販売していることを示していると書いています。

イタリアのファシストの長い伝統の一部として、[ハッキングチームのCEOデビッド]ヴィンツェンツェッティ、彼の会社、および警察、軍隊、政府の友人たちがいます。

ハッカーは、内部HTネットワークを侵害する初期段階で、組み込みデバイスで0dayエクスプロイトが使用されたと主張していますが、詳細は明らかにされていません。

ハッキングチームteníamuy poco expuesto alインターネット。 ガンマグループとは異なり、顧客は、顧客企業の証明書を取得する必要があります。 Lo queteníaera su sitio web principal（ブログJoomla en que Joomscan no revelaningúnfallo grave）、un servidor de correos、un par de routers、dos dispositivos VPN、y un dispositivo para filtrar spam。 Entonces tuve tres opciones：buscar un 0day en Joomla、buscar un 0day en postfix、o buscar un 0day en uno de los sistemas embebidos。 Un 0day en un sistema embebido mepareciólaopciónmásalcanzable、ydespuésde dos semanas de trabajo deingenieríainversa、log re un exploit remoto de root。 Dado que las vulnerabilidadesaúnno han sido parcheadas、no voy a darmásdetalles。 完全な情報脆弱性のないバスカーの情報、脆弱性

インターネット上でHacking Teeamを侵害する機会はほとんどありませんでした。 たとえば、 ガンマグループ組織とは異なり、HTはデジタル証明書に基づく顧客識別を使用しました。 侵害は、HT Webサイト（Joomlaによって管理され、Joomscanスキャナーは重大な脆弱性を検出しませんでした）、メールサーバー、2つのルーター、2つのVPNデバイス、およびスパムフィルターデバイスを通じて実行される可能性があります。 したがって、3つの選択肢がありました。Joomla、postfix、または組み込みデバイスの0day脆弱性を見つけます。 組み込みデバイスの脆弱性を見つけることは実行可能なタスクであるように思え、2週間を費やした後、ルート権限でエクスプロイトを作成することができました。 脆弱性はまだ解決されていないため、詳細は公開しません。

HTに対して使用する前に、エクスプロイトの開発とテストに多くの時間を費やしました。 特別なファームウェアのバックドアが作成され、組み込みデバイスにアクセスした後、組み込みデバイスで作業するための多くのツールも準備されました。 ファームウェアバックドアは、使用されているエクスプロイトを保護するために使用されました。 制御をバックドアに戻すときにエクスプロイトを1回使用すると、使用された脆弱性を検出し、その後の修正を行う作業が複雑になります。

組み込みデバイス用の次の有名なツールの変更を使用して、必要なアクションを実行および実行しました。

• デバイスのOSで作業するためのbusyboxツールキット。
• 内部HTネットワークをスキャンするためのNmapツール。
• Responder.pyスクリプト。Windowsを実行しているローカルエリアネットワークで攻撃者が内部ネットワークにアクセスできるが、ドメインに入るための資格情報がない場合に攻撃を実行するように設計されています。
• 前のスクリプトを実行するためのPythonソフトウェアパッケージ。
• 送信されたトラフィックを受信するためのtcpdumpツール。
• FTPなどのサービスの安全でないパスワードを追跡し、ARPスプーフィング攻撃を実行するためのdsniffツール。
• 中継ツールsocat。
• システムで拡張された範囲のアクションを実行するための画面ツール。
• SOCKSプロキシサーバー。
• ネットワークツールtgcd。

著者の話からわかるように、組織の内部ネットワークにアクセスした後、彼はさまざまなWindowsのエクスプロイトを使用してシステムの管理者権限を取得しました。 1日のエクスプロイトに加えて、Pass-the-Hash攻撃とリモートアクセスツール（RAT）が使用されました。 一般に、言及されている手順は、セキュリティ会社によってすでに繰り返し開示されている同様の複雑なサイバー攻撃で使用される攻撃者の手順とあまり変わりません...



他のサイバー攻撃情報はpastebinで入手できます。