Спустя почти год после скандального взлома Hacking Team и утечки 400 Гб внутренних данных компании, появился человек, взявший ответственность за случившееся на себя. В минувшие выходные на PasteBin был опубликованобъемный текст, автором которого выступил хакер, известный как Финиас Фишер (Phineas Fisher).
Фишер в деталях рассказал о том, как он самостоятельно взломал Hacking Team, какие техники и инструменты для этого использовал, а также объяснил, зачем это сделал.
Итальянская компания Hacking Team прославилась на весь мир летом 2015 года, когда неизвестные взломали её и опубликовали в интернете более 400 Гб внутренних файлов (от исходного кода, до документов и почтовой переписки сотрудников). До этого момента о деятельности Hacking Team было известно немного, но после утечки данных весь мир смог в деталях ознакомиться с тем, как работают компании, создающие инструменты для массовой слежки, разрабатывающие различные эксплоиты и софт на грани легального,
Хотя после взлома на всеобщее обозрение выплыли различные факты, часть из которых откровенно порочила репутацию Hacking Team (к примеру, сотрудничество с Ливией, Суданом, Эфиопией и другими странами, властям которых определенно не стоило продавать глобальный шпионский софт), руководство компании попыталось оправдаться и принести извинения. В итоге, как это ни странно, Hacking Team не слишком пострадала в результате этого скандала и, по последним данным, даже осталась на плаву. Тем не менее, кто взломал одного из крупнейших поставщиков продукции для спецслужб, так и осталось неясно.
Публикация Финиаса Фишера написана в духе мануала для начинающих хакеров. Он не только рассказывает о взломе Hacking Team, но читает настоящую лекцию об информационной безопасности в целом, рассказывая обо всём, начиная практически с самых азов. Фишер, в частности, пишет о том, почему использование Tor – это не панацея, учит правильно пользоваться поиском Google (как это делают пентестеры), а также объясняет, как правильно собирать личные данные о жертве и применять социальную инженерию. Крайне рекомендуем ознакомиться с полной версией текста на PasteBin, а в этой заметке мы всё же сконцентрируемся на взломе Hacking Team.
Фишер утверждает, что входной точкой его атаки стало некое «встроенное устройство» подключенное к внутренней сети Hacking Team. Хакер не раскрывает подробностей о том, что это было за устройство, зато он отмечает, что обычно найти точку проникновения гораздо легче. Дело в том, что специально для атаки Фишер нашел 0-day в этом «встроенном устройстве», создал собственную прошивку для него и оснастил ее бэкдором. Хакер пишет, что на создание удаленного root-эксплоита у него ушло две недели, а также отказывается раскрывать данные о природе самой 0-day уязвимости. Фишер объясняет своё нежелание тем, что баг до сих пор не исправлен.
Проникнув в сеть Hacking Team, Фишер какое-то время наблюдал и собирал данные. Он написал ряд собственных инструментов для атаки, и использовал свой эксплоит всего раз – для внедрения в сеть, а затем возвращался в систему уже через оставленный там бэкдор. Также при проведении опытов было важно не дестабилизировать систему и не выдать своего присутствия, поэтому несколько недель Фишер тренировался и проверял все подготовленные инструменты, эксплоит и бэкдор в сетях других уязвимых компаний. Для последующего изучения сети Hacking Team Фишер использовал busybox, nmap, Responder.py, tcpdump, dsniff, screen и другие тулзы.
Потом Фишеру повезло. Он обнаружил пару уязвимых баз MongoDB сконфигурированных совершенно неправильно. Именно здесь хакер нашел информацию о бэкапах компании, а затем добрался и до самих бэкапов. Самой полезной его находкой стал бэкап почтового сервера Exchange. Фишер принялся прицельно искать в нем информацию о паролях или хешах, которые моги бы предоставить ему доступ к «живому» серверу. Для этого он использовал pwdump, cachedump иlsadump, и удача снова ему улыбнулась. Фишер обнаружил учетные данные аккаунта администратора BES (BlackBerry Enterprise Server). Данные оказались действительны, что позволило Фишеру повысить свои привилегии в системе, в итоге получив пароли других пользователей компании, включая пароль администратора домена.
На этом этапе Фишер уже опасался, что его присутствие вот-вот заметят, поэтому принялся срочно скачивать информацию с почтового сервера компании. Однако хакера никто так и не обнаружил.
Изучив похищенные письма и документы, Фишер заметил, что пропустил кое-что важное – «Rete Sviluppo», изолированную сеть внутри основной сети Hacking Team, где команда хранила исходные коды своего RCS (Remote Control System), то есть шпионского ПО для слежки за пользователями. Рассудив, что у сисадминов должен быть доступ к этой сети, Фишер (уже обладающий привилегиями администратора домена) проник на компьютеры Мауро Ромео (Mauro Romeo) и Кристиана Поцци (Christian Pozzi). На их машины он подсадил кейлоггеры, софт, делающий снимки экрана, поработал с рядом модулей metasploit, а также просто изучил содержимое компьютеров. В системе Поцци обнаружился Truecrypt-том, и Фишер терпеливо дождался, пока разработчик его смонтирует, а затем скопировал оттуда все данные. Среди файлов с зашифрованного тома обнаружился обычный файл .txt с кучей разных паролей. Нашелся там и пароль от сервера Fully Automated Nagios, который имел доступ к закрытой сети Sviluppo для мониторинга. Фишер нашел то, что искал.
Кроме того, просматривая похищенную почту, хакер обнаружил, что одному из сотрудников дали доступ к репозиториям компании. Так как Windows-пароль сотрудника был уже известен Фишеру, он попробовал применить его же для доступа к git-серверу. И пароль сработал. Тогда Фишер попробовал sudo, и всё вновь сработало. Для доступа к серверу GitLab и Twitter-аккаунту Hacking Team взломщик вообще использовал функцию «я забыл пароль», в сочетании с тем фактом, что он имел свободный доступ к почтовому серверу компании.
На этом Фишер счел компрометацию Hacking Team окончательной и всецелой. Он пишет:
«Вот и всё, что потребовалось, чтобы уничтожить компанию и остановить нарушение прав человека. Вот она – красота и ассиметрия хакинга: всего 100 часов работы и один человек может перечеркнуть годы работы многомиллионной компании. Хакинг дает аутсайдерам шанс сражаться и победить».
В конце Фишер отмечает, что он хотел бы посвятить данный взлом и этот подробный гайд многочисленным жертвам итальянских фашистов. Он заявляет, что компания Hacking Team, ее глава Давид Винченцетти (David Vincenzetti), давняя дружба компании с правоохранительными органами – всё это части давно укоренившейся в Италии традиции фашизма. После таких заявлений мотивы Фишера, который пишет о себе как о «этичном хакере», становятся вполне ясны.
В Нижнем Новгороде завершилась XI международная конференция «Цифровая индустрия промышленной России». За четыре дня ЦИПР-2026 посетили более 13 тыс. участников из всех регионов России и 46 стран. На выставке представили 185 стендов, а деловая программа включила 165 дискуссий с участием более 1000 спикеров.
Главными темами стали цифровая трансформация промышленности, технологический суверенитет, импортозамещение ПО, ИИ, кибербезопасность, роботизация и развитие отечественных ИТ-решений. В мероприятии приняли участие представители правительства, региональных властей и крупнейших компаний.
На пленарной сессии премьер-министр Михаил Мишустин заявил, что за шесть лет доля ИТ-отрасли в ВВП удвоилась, а объём продаж российских продуктов и сервисов вырос почти в 4,5 раза и превысил 5 трлн рублей. Также, по его словам, впервые с 2022 года экспорт российского ПО вырос на 15%, а число занятых в отрасли превысило 1 млн человек.
Отдельный блок был посвящён итогам работы индустриальных центров компетенций. По словам вице-премьера Дмитрия Григоренко, из 175 особо значимых проектов, отобранных в 2022 году, уже завершены 120. Более 930 предприятий используют созданные решения, а российским ПО закрыто свыше 180 направлений, где раньше не было отечественных аналогов.
Компании на ЦИПР-2026 тоже показали немало громких новинок. «Группа Астра» объявила о запуске Astra Cloud на отечественных 48-ядерных процессорах Baikal-S. «Ростелеком» представил стратегию развития до 2030 года. Т-Банк провёл контролируемую кибератаку на собственную инфраструктуру с помощью ИИ. «Росатом» показал планшет-трансформер OKO Book 5 Yoga и платформу промышленного ИИ «АтомМайнд 2.0». РЖД и «Бюро 1440» начали проект по оснащению «Сапсанов» и «Ласточек» отечественной спутниковой связью.
Международная часть тоже была заметной: на конференцию приехали более 300 иностранных делегатов, а свои стенды представили 11 зарубежных компаний. За время форума подписали более 350 соглашений, в том числе международные договорённости с Китаем, Лаосом и Анголой.
Помимо деловой программы, на ЦИПР прошла выставка цифрового искусства DeCIPRaland: в ней участвовали 35 художников и более 70 работ из разных стран. Цифровой музей посетили 4200 человек. Также состоялась премия ЦИПР Диджитал, где отметили проекты в области цифровых технологий, ИИ, видеоаналитики, онлайн-банкинга и цифровых двойников.
Формально ЦИПР остаётся конференцией про промышленную цифровизацию, но по факту всё больше напоминает большую витрину российского технологического рынка: тут одновременно обсуждают госполитику, показывают железо, облака, ИИ, роботов, спутниковую связь и договариваются о новых проектах. То есть место, где цифровая экономика перестаёт быть абстрактным словосочетанием и превращается в стенды, соглашения и очереди у павильонов.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
