Hacking Team : dans les coulisses d’un piratage ordinaire

Des outils libres et accessibles à tous

En l’occurrence, le pirate a commencé son opération par un large travail d’enquête… sur Google. Et puis en se renseignant sur les domaines et sous-domaines utilisés par sa cible – voire simplement enregistrés à l’une de ses adresses postales – et sur les adresses IP correspondantes. Le tout en s’appuyant exclusivement sur des outils libres et accessibles à tous dont il établit la liste.

Cela fait, il lui a fallu trouver les moyens d’entrer sur l’infrastructure de Hacking Team, « en parlant avec ses serveurs », via des scanners de ports. « Ce n’est pas une attaque, c’est juste de la collecte d’information. Le système de détection d’intrusion (IDS) de l’entreprise risque de générer une alerte, mais pas d’inquiétude, l’ensemble d’Internet est scanné en permanence ». De quoi inviter à relativiser la valeur réelle des alertes générées isolément par les IDS : un potentiel signal faible perdu au milieu du bruit fond.

La reconnaissance ne s’est pas arrêtée là : le pirate a aussi conduit un vaste travail d’ingénierie sociale, s’appuyant sur Google ou encore LinkedIn pour collecter des informations sur les employés, leurs fonctions, leurs coordonnées, etc.

Trop petit, trop mûr

Partant, l’intrusion ne semble pas avoir été aisée. Le pirate évoque les « deux façons les plus courantes » : le hameçonnage ciblé, mettant à profit le travail préalable d’ingénierie sociale ; et l’achat d’accès. Car en fait, « de nombreuses entreprises ont déjà des ordinateurs compromis sur leurs réseaux. Il y a déjà des bots à l’intérieur de quasiment toutes celles du Fortune 500, avec leur énormes réseaux ».

Mais dans le cas Hacking Team, le pirate a estimé que la cible était d’une maturité trop élevée pour que le hameçonnage fonctionne, mais aussi trop petite et trop experte pour que son système d’information soit déjà compromis. Une autre leçon apparaît là : plus l’organisation est vaste, plus elle apparaît vulnérable.

Le pirate s’est donc mis en quête de vulnérabilités inédites dans les systèmes exposés sur Internet par Hacking Team : « un site Web animé par Joomla, un serveur de messagerie, quelques routeurs, deux appliances VPN, et une appliance de filtrage des pourriels ». Selon, « trouver une vulnérabilité inédite dans un système embarqué semblait l’option la plus facile ». Et de revendiquer justement, « après de deux semaines de rétro-ingénierie », avoir trouvé un exploit lui permettant de prendre le contrôle d’une appliance. A noter que les vulnérabilités qu’il a découvertes « n’ont pas encore été corrigées ».

Une entrée préparée

Le pirate explique avoir ensuite préparé un firmware doté d’une porte dérobée, afin de n’avoir à utiliser son exploit qu’une seule fois et préserver sa furtivité, ainsi que des outils de reconnaissance interne. « La pire chose susceptible de se produire était que ma porte dérobée ou que mes outils de post-exploitation rendent le système installe et conduisent un employé à enquêter. J’ai donc passé une semaine à tester mon exploit, la porte dérobée, et les outils de post-exploitation sur les réseaux d’autres organisations vulnérables, avant d’entrer sur le réseau de Hacking Team ».

Là, même si l’opération est rigoureusement ciblée, il apparaît que quelques signaux faibles potentiellement observés sur des organisations tierces aurait pu éveiller l’attention. De quoi plaider en faveur du partage de renseignement sur les menaces.

Pour l’exploration du réseau à proprement parler, le pirate s’est appuyé sur Responder, un outil développé par les SpiderLabs de Trustwave, et Nmap, notamment, pour scanner les ports des machines présentes au sein de l’infrastructure.

Accéder aux serveurs de stockage

La première découverte a été plusieurs bases de données MongoDB vulnérables. Mais le plus intéressant a été des serveurs de stockage iSCSI. Des appareils signés Synology mais configurés sans authentification et accessibles depuis le réseau principal alors même « qu’ils étaient supposés être sur un réseau distinct » selon une documentation interne.

Comme le souligne le pirate, « compiler un module de noyau pour iSCSI pour un système embarqué aurait été difficile ». Dès lors, il a préféré mettre en place un déport de port – port forwarding – afin de pouvoir monter la cible iSCSI sur un serveur privé virtuel, à distance.

Et là, le pirate a commencé à accéder aux sauvegardes de nombreuses machines virtuelles, dont le serveur Exchange. Mais outre les données de messagerie, la sauvegarde de ce serveur contenait des identifiants valides, à commencer par celui de l’administrateur du BES et celui du domaine Active Directory. Avec ce dernier, « j’ai accès à l’e-mail, le cœur de l’entreprise ».

Une bataille asymétrique

Mais pas question de s’arrêter en si bon chemin. Le pirate a décidé de poursuivre son exploration à l’aide d’un outil bien connu : PowerShell. Il indique qu’il lui a fallu « quelques semaines de plus pour accéder au code source [des outils développés par Hacking Team, NDLR] et tout le reste ». De fait, de là, le pirate a pu accéder aux postes de travail des dirigeants et collaborateurs de l’entreprise, et à toutes leurs données.

Les experts en sécurité le rappellent à l’envi : la bataille contre les pirates est éminemment asymétrique. Celui qui s’est attaqué à Hacking Team ne dit pas autre chose, et en souligne même « la beauté : avec 100h de travail, une personne peut défaire ce qu’une entreprise pesant plusieurs millions de dollars a mis des années à des faire ». De quoi rappeler l’importance d’une vigilance constante ainsi que la difficulté de la tâche des RSSI et de leurs équipes.