Печальные последствия кибератаки на Hacking Team вполне ожидаемо поставили под сомнение способность этого вендора удержаться на рынке инструментов слежки и кибершпионажа. Публикация конфиденциальной, закрытой информации и объектов авторских прав онлайн — это могучий удар по бизнесу, от которого не так-то легко оправиться.

Тем не менее итальянский разработчик, похоже, не намерен сдаваться. В опубликованном вчера заявлении директор по производству Hacking Team Дэвид Винченцетти (David Vincenzetti) поведал, что компания собирается перестроить внутреннюю инфраструктуру и программный продукт Remote Control System (RCS) с тем, чтобы заменить производственные секреты, утекшие в Сеть.

«Мы уже обособили внутренние системы, исключив возможность вывода дополнительной информации за пределы Hacking Team, — заявил руководитель компании. — В настоящее время проводятся работы по созданию совершенно новой внутренней инфраструктуры, способной обеспечить безопасность данных. Нашим главным приоритетом, разумеется, остается подготовка обновления, чтобы клиенты смогли быстро обезопасить текущие инфраструктуры наблюдения. Мы начнем раздавать этот апдейт сразу после выпуска. Это будет еще одна попытка повысить безопасность версии Galileo нашей RCS-системы».

Винченцетти также отметил, что осенью планируется выпуск версии 10 RCS, мониторинговой системы, которой пользуются правоохранительные органы и правительства по всему миру. «Это будет не обновление, а полная замена существующей системы Galileo, — подчеркнул представитель компании. — Само собой разумеется, в предстоящий релиз будут включены новые элементы системной и информационной защиты, учитывающие те уроки, которые преподала недавняя атака на Hacking Team».

Счета и чеки жертвы взлома, выложенные в открытый доступ, свидетельствуют о том, что компания-разработчик, вопреки заявленной политике, продавала RCS в страны — объекты санкций, такие как Судан и Эфиопия. В ответ на такие обвинения Hacking Team во всеуслышание заявила, что деспотические режимы она больше не обслуживает.

Оглашению намерений жертвы масштабной утечки предшествовало еще одно интересное заявление. В пятницу вечером стало известно о том, что на этой неделе* компания Adobe планирует закрыть еще две уязвимости нулевого дня во Flash Player. Брешь CVE-2015-5122 обнаружили исследователи из FireEye, CVE-2015-5123 — Trend Micro и slipstream/RoL. Как и найденная несколько ранее Flash 0-day, эти уязвимости относятся к типу use-after-free и позволяют установить контроль над атакуемой системой. Согласно US-CERT, их использование возможно лишь в том случае, если злоумышленнику удастся заманить потенциальную жертву на сайт с эксплойтом.

По свидетельству ИБ-исследователя Kafeine, баг CVE-2015-5122 уже добавлен в арсенал эксплойт-пака Angler, а также во фреймворк Metasploit. Столь же молниеносно вошла в наборы эксплойтов и более ранняя Flash-уязвимость, CVE-2015-5119.

ИБ-компания Cybereason со своей стороны опубликовала интересные результаты сравнения тактики Hacking Team и APT-группы, стоящей за Flame. «Интерфейс [командного] сервера Flame имитирует новостной и рекламный сервис AdWords, — пишут исследователи, — и предлагает «клиентам», как злоумышленники называют свои цели, ссылку на сервер, якобы размещающий рекламу, хотя на самом деле он загружает вредоносное ПО. Многие команды и протоколы при этом используют характерный для новостных служб жаргон, чтобы ввести в заблуждение средства обнаружения и ИБ-аналитиков. Аналогичную тактику применяет и Hacking Team».

По свидетельству Cybereason, мишени пользователей RCS вначале перенаправляются на сайты с эксплойтами или поддельные ресурсы, созданные для атак вида watering hole. На этих площадках потенциальная жертва подвергается проверке на уязвимость, а затем эксплойту с целью захвата контроля над машиной, в том числе посредством загрузки агента RCS. Одна такая мишень подверглась Flash-эксплойту через шесть дней после обновления версии Google Chrome. «Это важный, хотя и весьма курьезный факт, ведь Chrome позиционируется на рынке как самый надежный из ходовых браузеров, — отмечают эксперты. — Тем не менее злоумышленники сумели его проэксплуатировать в считаные дни после установки новейшего апдейта».

Тем временем Hacking Team заявила, что некоторые элементы ее системы, раскрытые в результате взлома, можно считать устаревшими, так как они теперь обнаружимы. «По нашему мнению, дальнейшее использование этого устаревшего кода для наблюдения на сотовых телефонах, мобильных устройствах или компьютерах нецелесообразно, — констатирует Винченцетти. — Тем не менее важные элементы исходного кода скомпрометированы не были, остались в секрете и потому надежны».

*Update. Flash-бреши CVE-2015-5122 и CVE-2015-5123 уже запатчены разработчиком.

Категории: Уязвимости