Hacking Team, come è stata attaccata

Phineas Fisher è lo pseudonimo con cui si fa chiamare il presunto autore dell’attacco a Hacking Team della scorsa estate.
L’iniziativa di Fisher destò grande scalpore ed ebbe un’immediata risonanza a livello mondiale: l’hacker o il cracker – dipende dai punti di vista – “scoperchiò il vaso di Pandora” spiattellando ai quattro venti le attività della società milanese Hacking Team, impegnata nello sviluppo e nella commercializzazione di software per il monitoraggio, la sorveglianza ed il controllo remoto ad autorità, forze di polizia e governi di mezzo mondo:

– Attacco a Hacking Team: dettagli e vulnerabilità
– Hacking Team privata del controllo remoto
– Proteggersi dalle vulnerabilità usate da Hacking Team
– Trojan di Stato, se ne torna (purtroppo) a parlare
– Un malware aggredisce Mac OS X, il ritorno di Hacking Team?

Fisher ha in queste ore pubblicato un’analisi anonima sul servizio Pastebin (vedere questa pagina) spiegando come ha fatto ad attaccare Hacking Team e sottrarre ben 400 GB di dati sensibili dai server dell’azienda italiana.
Tra l’immensa mole di materiale sottratto ad Hacking Team, buona parte della corrispondenza dell’azienda e, soprattutto, il codice sorgente di Remote Control System (RCS), il software di sorveglianza venduto su scala planetaria.

Il grimaldello per accedere alla rete interna di Hacking Team sarebbe stata una vulnerabilità zero-day scoperta in un sistema embedded.
Dopo due settimane di reverse engineering, Fisher afferma di essere riuscito a mettere a punto il codice exploit per l’accesso remoto in modalità root.
“Dal momento che le vulnerabilità in questione non sono state ancora risolte, mi astengo dal pubblicare i dettagli tecnici“, ha aggiunto Fisher.

Una volta conquistato l’accesso alla rete di Hacking Team, Fisher avrebbe esaminato il contenuto della stessa concentrandosi sulle risorse condivise.
Dopo aver individuato alcuni backup non protetti, Fisher è riuscito ad individuare il backup del server Microsoft Exchange recuperando le password di accesso ai vari servizi usati internamente all’azienda.

L’autore dell’attacco sostiene che tra i vari dati di cui si è impossessato c’erano anche le informazioni di autenticazione al BlackBerry Enterprise Server, credenziali che sarebbero addirittura valide ancor’oggi.

L’attività di “ispezione” condotta da Fisher gli avrebbe poi consentito di trovare i dati per l’accesso su GitLab, “contenitore” del codice sorgente del tool RCS.

E mentre il governo italiano, attraverso il Ministero dello Sviluppo Economico (MISE), all’inizio del mese, ha deciso di revocare ad Hacking Team la vendita dei suoi software fuori dal territorio europeo, la nuova azione di Fisher ha suscitato l’intervento del CEO David Vincenzetti.

Il numero uno di Hacking Team, in una nota pubblicata sul sito della società, si è scagliato contro la stampa che utilizzerebbe strumenti sensazionalistici come la diffusione delle informazioni pubblicate da Fisher su Pastebin per acquisire visibilità e lettori.

Vincenzetti “celebra” i prodotti di Hacking Team e li presenta come strumenti al servizio delle forze dell’ordine per scoprire e neutralizzare le attività criminose. E lancia nuovi strali verso Fisher o chiunque sia l’autore dell’attacco del luglio 2015: “sono in corso diverse indagini, in molte nazioni, tese ad accertare l’identità dell’aggressore“. Il CEO di Hacking Team, inoltre, dichiara che Fisher “non è così furbo come crede di essere” e contesta, senza però entrare nel merito, le “inesattezze” dell’analisi appena pubblicata.

Vincenzetti conclude spiegando che Hacking Team sta continuando e proseguirà nello sviluppo di software destinato all’utilizzo da parte delle forze dell’ordine.