• Действующие специалисты

    администрирование, сети, операционные системы, защита

  • Портал знаний и дискуссий

    обменяться знаниями это легко

Специалисты продолжают анализировать документы и файлы итальянской компании Hacking Team, попавшие в открытый доступ. Компания разрабатывала довольно продвинутое шпионское ПО. В частности, в их арсенале обнаружен UEFI BIOS руткит, который сохранял контроль над компьютером для агента Remote Control System (RCS). Например, в случае смены HDD или переустановки ОС агент успешно восстанавливается и продолжает работу.

Сотрудники антивирусной компании Trend Micro сообщают, что процедура прописана конкретно для Insyde BIOS (популярный BIOS на ноутбуках). Однако код должен работать и на AMI BIOS.

В презентации Hacking Team сказано, что для заражения требуется физический доступ к компьютеру и перепрошивка BIOS в ручном режиме, но специалисты Trend Micro не исключают возможность удаленной установки.

Hacking Team даже предоставляла своим клиентам техническую поддержку в случаях, если BIOS жертвы не совместим с руткитом.

о время инсталляции с флешки или другого внешнего источника копируется три файла. Файл dropper.mod содержит действующих агентов, которые называются scout.exe и soldier.exe.

После установки руткита он каждый раз при загрузке системы проверяет наличие агентов. В случае отсутствия scout.exe он заново копируется в папку \Users\[username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6To_60S7K_FU06yjEhjh5dpFw96549UU.

Наличие файла soldier.exe тоже проверяется, но он по какой-то причине не перезаписывается заново.

По всей видимости, новые и новые разоблачения, связанные с утечкой 400 Гб данных у компании Hacking Team, будут еще долго попадать на первые полосы газет. На этот раз издание Hacker News обнаружило среди украденных у Hacking Team документов переписку сотрудников компании и ФБР. Из обмена письмами следует, что ФБР пыталось деанонимизировать tor-юзеров, используя для этого программу Galileo, предоставленную Hacking Team.

В сентябре 2014 года сотрудник ФБР поинтересовался у поддержки Hacking Team новой версией их RCS ПО, более известного под именем Galileo. Сотрудника Бюро занимал вопрос, не сможет ли Galileo помочь им в сложном деле отслеживания пользователей Tor:
«Один из ваших инженеров сказал нам, что в 8 версии присутствует функция отслеживания цели, использующей Tor, по одному только IP-адресу. Это работает и в более поздних версиях? Если нет, не могли бы вы предоставить нам способ обойти Tor? Спасибо».

Агент ФБР также сообщил, что не знает о цели ничего, кроме IP-адреса, который оказался выходным нодом Tor. Цель также «возможно использует TBB или что-то подобное». Речь о Tor Browser Bundle, который позволяет использовать Tor, не устанавливая ПО. Агент размышлял, не отправить ли цели фишинговый email, «с прикрепленным документом или .pdf файлом, и надеяться, что он установит шпиона».

В ответ сотрудник Hacking Team сообщил, что как только цель установит на свою машину шпиона, ФБР сможет отследить ее реальный IP-адрес, даже если цель использует TBB. Если это не сработает, агенту было предложено «после установки шпиона проверить список установленных на устройстве программ», чтобы точно установить, чем пользуется объект.

Чем закончился данный случай – неизвестно. Но среди писем попадаются и такие, которые явно указывают на то, что ФБР частенько прибегало к помощи Hacking Team и, в частности, Galileo. К примеру, вот цитата из переписки самих сотрудников Hacking Team:
«Они признались, что используют его для низкоуровневых расследований. Для важных операций предпочитают пользоваться другой платформой. Чтобы подогреть их «аппетит» к Galileo, нам нужно определиться с ключевыми функциями (TOR? новый TNI? VPN? инфицирования меньшим числом кликов?)».

Поиск

Новостная лента

Форум Biglan.ru

П О С Е Т И Т Е   Ф О Р У М

Ссылки на друзей:

Kalobok.ru - самый развлекательный портал