9 de julio de 2015

El sistema de espionaje HackingTeam RCS en Colombia (Parte I)

Como ya lo sabrán, el pasado Domingo 5 de Julio fueron liberados más de 400GB de información privada de la empresa italiana HackingTeam (en adelante HT), incluyendo código fuente y compilado de su software y exploits, información sobre su infraestructura y la de sus clientes, correos electrónicos de sus funcionarios, logins, passwords, facturas, contratos, listados de clientes, números de cuentas bancarias, etc.


Tweet de HT luego de ser hackeados, mencionando la liberación de toda su información
Fuente: Twitter

Para quienes no habían escuchado de HT, ésta es una empresa dedicada a la fabricación de malware para uso por parte de agencias del estado, en teoría, contra delincuentes y terroristas, con un historial de ventas poco éticas. El producto estrella de HT se llama(ba) Remote Control System (RCS), y permitía la infección y monitoreo de blancos en diferentes plataformas (Windows, MacOSX, Android, iOS, etc.) de forma transparente a la víctima. Hasta ahí todo parece muy legal y legítimo (que no son lo mismo).

El primer problema que aparece es la ética de cómo se usan estos programas y contra qué blancos. La preocupación principal en este respecto es la venta de dichos productos a régimenes dictatoriales (o simplemente gobiernos mañosos) que los utilizan para perseguir a activistas, periodistas o cualquiera que piense diferente a ellos o les sea incómodo (por ejemplo, contra sus mismos funcionarios: ver aquí). Igualmente, sin controles estrictos puede inclusive ser usado por los mismos funcionarios que lo operan para espiar e invadir la privacidad de quienes ellos quieran (familiares, amigos, etc.)

Y aunque en Colombia el caso más famoso de espionaje masivo a la población por parte del gobierno es la plataforma PUMA (Solución Reliant, de la empresa israelí Verint, por la que pasa todo el tráfico de todos los ISPs del país), la presencia de HT RCS es también altamente preocupante. Aparentemente la Oficina de Inteligencia de la Policía Nacional (bajo DIPOL), y codificada como MDNP (Ministerio de Defensa Nacional - Policia ?) aparece como uno de los clientes activos de HT en la documentación filtrada, con licencia válida hasta Octubre 30 de 2016.



Listado parcial de clientes de HT
Fuente: Hacking Team Torrent File

Seguramente esta oficina de inteligencia tiene algunos usos legítimos que darle a estas herramientas (en casos de pedofilia, extorsión, etc. - No nombro "terrorismo" porque creo que eso ya no es delito en Colombia, o no se persigue) ... Pero realmente cómo se controla que no sea usada para fines ilegales o ilegítimos ?


Hacking Team y su Reputación:

Las dudas en el uso de este software, sin embargo, comienzan con la reputación de HT.

Ya desde Febrero de 2014, The Citizen Lab presentaba evidencia de que HT vendía su software a Azerbaijan, Colombia, Egipto, Etiopía, Hungría, Italia, Kazakihstán, Corea, Malasia, México, Marruecos, Nigeria, Omán, Panamá, Polonia, Arabia Saudita, Sudán, Tailandia, Turquía, Emiratos Árabes y Uzbekistán (ver aquí). Hasta la fecha eran sólo rumores sin confirmar.

Dentro de esta lista hay países abusadores de los derechos humanos, y se ha demostrado que RCS ha sido empleado ilegalmente por diferentes clientes de HT para espiar a periodistas en Marruecos, a activistas de derechos humanos en los Emiratos Árabes, a shiitas en Arabia Saudita, a periodistas en Etiopía, y a periodistas de Etiopía en Washington DC. No en vano HT ha sido llamado repetidamente como "mercaderes de la muerte" o "mercenarios digitales", y están calificado como "enemigos de Internet" por Reporteros Sin Fronteras (ver aquí).


Mapa de posibles clientes de HT en 2014
Fuente: citizenlab.org

Un ejemplo vívido de la falta de ética de esta empresa es Sudán. Este país está bajo un embargo de las Nacionas Unidas (UN) por el que ningún otro país puede venderle armamento. Actualmente existe un airado debate sobre si el malware y los exploits deben ser considerados como armamento, y deben ser regidos por pactos como el Acuerdo de Wassenaar. HT ha declarado repetidamente que nunca ha tenido realciones con Sudán, hasta al punto de que el representante de Italia ante las Naciones Unidas declarara esto mismo. Sin embargo, en la documentación liberada este fin de semana se encuentra una factura por USD$480.000 (o Euros?) a la agencia nacional de inteligencia de Sudán. HT se lava las manos presentando esta irrisoria "HT Customer Policy" en su página web.



Confirmación de funcionario italiano ante Naciones Unidas confirmando que HT no tiene vínculos con Sudán (izq.) y
Factura de Venta al gobierno de Sudán (der.)
Fuente: Hacking Team Torrent File

Pero la desfachatez de HT no se detiene en vender su software a cualquier gobierno, sin importar su uso, sino sólo por el beneficio económico. El análisis de código fuente revelado este fin de semana indica que su software podía ser utilizado inclusive para incriminar a los blancos investigados, plantándoles evidencia, en la forma de archivos ilegales (imágenes y videos de pedofilia, planos de bombas, etc.) en caso de que el cliente de HT (i.e. agencia de inteligencia) no tuviera una razón inicial para arrestar a su objetivo/blanco.


Código parcial mostrando uploading de archivos de pedofilia (pedoporno.mpg/childporn.avi)
Fuente: Hacking Team Torrent File

También se ha podido identificar que el mismo software HT RCS posee un backdoor instalado por HT, que les permite ingresar a los sistemas RCS de sus clientes (i.e. agencias de inteligencia gubernamentales en todo el mundo) de manera oculta e irrestricta. Es por esta razón, que al verse hackeados, HT envió un correo masivo a todos sus clientes a nivel mundial, solicitando que apagaran los sistemas RCS inmediatamente, ahora que el acceso al backdoor es público y cualquiera que lo encuentre entre el código podría acceder a estos sistemas críticos globales (ver aquí).


Código fuente parcial del software HT RCS, mostrando acceso SQL sin filtrado (vulnerable a SQLi)
Fuente: Twitter y HT Torrent File



Hacking Team y su Security Failure

Con tan sólo un vistazo a los primeros archivos bajados de los mas de 400GB disponibles, se puede evidenciar que HT no poseía prácticas mínimas ni una cultura fuerte de seguridad, y esta es seguramente la razón principal para que hayan sido vulnerados, de la manera en que sucedió, y con la extensión del impacto que hubo.

Como una muestra mínima de la ineptitud en seguridad informática básica por parte de HT, presentamos estos dos ejemplos:

1) Administración de Passwords:
- Passwords almacenados en texto plano (notepad, excel, etc.)
- Passwords reutilizados en diferentes servicios/servidores
- Passwords fáciles de adivinar o romper por fuerza bruta (universo, Passw0rd, etc.)



Archivo de notepad encontrado en carpeta del administrador de red
Fuente: Hacking Team Torrent File

2) Manejo de Información Confidencial:
HT ofrecía también servicios de consultoría (inlcuyendo pruebas de penetración), pero sus prácticas de manejo de información de sus clientes eran igual de descuidadas que sus otras prácticas operativas en seguridad.
No sólo no destruían la información de sus clientes pasados después de cierto tiempo, sino que eran almacenadas en texto plano, sin ninguna protección (i.e. cifrado), por años (a veces más de 10 años).

Este es un ejemplo de información liberada sobre unas pruebas de penetración realizadas a una empresa muy grande y conocida, en 2006:



Portada de Informe de Pruebas de Penetración
Fuente: Hacking Team Torrent File



 Listado de password scifrados (hashes) del dominio del cliente (2861 cuentas - algunas con LM Hash)
Fuente: Hacking Team Torrent File




 Diagrama de red del cliente, con información de segmentación de la misma
Fuente: Hacking Team Torrent File


Conclusión: Las pésimas prácticas de seguridad de la información de HackingTeam, sumadas con la baja sofisticación de sus exploits (casi todos viejos - i.e. para versiones viejas de MS Office, Acrobat, etc.), indican que la prioridad de HT no era un avanzado nivel tecnológico, sino simplemente la búsqueda desenfrenada de dinero, ofreciendo productos y servicios de mala calidad al mejor postor. (Cabe anotar que estos exploits "viejos" igual tienen valor en el mercado de malware, ya que los objetivos/blancos de las agencias de intelligencia usualmente siguen usando software antiguo (como MS Office 2003 o Acrobat 9.x)

Aparte de los exploits viejos encontrados, se identificó un 0-day para Flash, que ya está siendo explotado en internet activamente, y aunque ya Adobe publicó un parche, está ya incluido en varios exploit kits, y también ya hasta existe un plugin para metasploit aquí.

Adicionalmente, se encontró código fuente de un exploit para MS09-001, comprado a VUPEN (otros mercenarios digitales), pero cuyo impacto único es negación de servicio en equipos Windows.


Código parcial en Python de PoC para MS09-001 (Negación de Servicio solamente)
Fuente: Hacking Team Torrent File

En el siguiente video se puede apreciar el código anterior corriendo contra un equipo MS Windows:
Demostración de PoC para MS09-001 (Negación de Servicio solamente)
Fuente: YouTube



Próxima Entrega: Hacking Team en Colombia

Hasta aquí el análisis básico de la noticia para quien quiera enterarse en pocos minutos de quiénes eran HackingTeam, qué hacían y qué les pasó.

El siguiente paso será un análisis más profundo de los 415 GBs de información liberada, buscando evidencia de la(s) compra(s) que hizo el gobierno colombiano a HackingTeam, para que el público en general pueda saber qué se hace con sus impuestos, y para exigir un control que permita verificar que estas armas tecnológicas no sean usadas contra los activistas, los periodistas, los opositores, los hackers, etc.

Como avance, ya hemos encontrado información relevante a: nombres, cargos, montos, cuentas bancarias, fechas, direciones IP, credenciales de acceso, correos electrónicos ... en fin ... Hay mucho trabajo por delante ... No se lo pierdan ! ;)

Para estar al tanto de la publicación y tips de cómo protegerse de ataques de este tipo, no olvides seguirme en Twitter: @falcon_lownoise


F4Lc0N
    Twitter: @falcon_lownoise
    E-mail: falcon ^at^ lownoisehg {dot} org
    LowNoise Hacking Group
    Colombia/USA



DISCLAIMER: Toda la información presentada en este artículo fue obtenida del dominio público, y sus fuentes están citadas. Para la reproducción parcial o total de este artículo se requiere permiso escrito o digital del autor.