Спустя почти год после скандального взлома Hacking Team и утечки 400 Гб внутренних данных компании, появился человек, взявший ответственность за случившееся на себя. В минувшие выходные на PasteBin был опубликованобъемный текст, автором которого выступил хакер, известный как Финиас Фишер (Phineas Fisher).
Фишер в деталях рассказал о том, как он самостоятельно взломал Hacking Team, какие техники и инструменты для этого использовал, а также объяснил, зачем это сделал.
Итальянская компания Hacking Team прославилась на весь мир летом 2015 года, когда неизвестные взломали её и опубликовали в интернете более 400 Гб внутренних файлов (от исходного кода, до документов и почтовой переписки сотрудников). До этого момента о деятельности Hacking Team было известно немного, но после утечки данных весь мир смог в деталях ознакомиться с тем, как работают компании, создающие инструменты для массовой слежки, разрабатывающие различные эксплоиты и софт на грани легального,
Хотя после взлома на всеобщее обозрение выплыли различные факты, часть из которых откровенно порочила репутацию Hacking Team (к примеру, сотрудничество с Ливией, Суданом, Эфиопией и другими странами, властям которых определенно не стоило продавать глобальный шпионский софт), руководство компании попыталось оправдаться и принести извинения. В итоге, как это ни странно, Hacking Team не слишком пострадала в результате этого скандала и, по последним данным, даже осталась на плаву. Тем не менее, кто взломал одного из крупнейших поставщиков продукции для спецслужб, так и осталось неясно.
Публикация Финиаса Фишера написана в духе мануала для начинающих хакеров. Он не только рассказывает о взломе Hacking Team, но читает настоящую лекцию об информационной безопасности в целом, рассказывая обо всём, начиная практически с самых азов. Фишер, в частности, пишет о том, почему использование Tor – это не панацея, учит правильно пользоваться поиском Google (как это делают пентестеры), а также объясняет, как правильно собирать личные данные о жертве и применять социальную инженерию. Крайне рекомендуем ознакомиться с полной версией текста на PasteBin, а в этой заметке мы всё же сконцентрируемся на взломе Hacking Team.
Фишер утверждает, что входной точкой его атаки стало некое «встроенное устройство» подключенное к внутренней сети Hacking Team. Хакер не раскрывает подробностей о том, что это было за устройство, зато он отмечает, что обычно найти точку проникновения гораздо легче. Дело в том, что специально для атаки Фишер нашел 0-day в этом «встроенном устройстве», создал собственную прошивку для него и оснастил ее бэкдором. Хакер пишет, что на создание удаленного root-эксплоита у него ушло две недели, а также отказывается раскрывать данные о природе самой 0-day уязвимости. Фишер объясняет своё нежелание тем, что баг до сих пор не исправлен.
Проникнув в сеть Hacking Team, Фишер какое-то время наблюдал и собирал данные. Он написал ряд собственных инструментов для атаки, и использовал свой эксплоит всего раз – для внедрения в сеть, а затем возвращался в систему уже через оставленный там бэкдор. Также при проведении опытов было важно не дестабилизировать систему и не выдать своего присутствия, поэтому несколько недель Фишер тренировался и проверял все подготовленные инструменты, эксплоит и бэкдор в сетях других уязвимых компаний. Для последующего изучения сети Hacking Team Фишер использовал busybox, nmap, Responder.py, tcpdump, dsniff, screen и другие тулзы.
Потом Фишеру повезло. Он обнаружил пару уязвимых баз MongoDB сконфигурированных совершенно неправильно. Именно здесь хакер нашел информацию о бэкапах компании, а затем добрался и до самих бэкапов. Самой полезной его находкой стал бэкап почтового сервера Exchange. Фишер принялся прицельно искать в нем информацию о паролях или хешах, которые моги бы предоставить ему доступ к «живому» серверу. Для этого он использовал pwdump, cachedump иlsadump, и удача снова ему улыбнулась. Фишер обнаружил учетные данные аккаунта администратора BES (BlackBerry Enterprise Server). Данные оказались действительны, что позволило Фишеру повысить свои привилегии в системе, в итоге получив пароли других пользователей компании, включая пароль администратора домена.
На этом этапе Фишер уже опасался, что его присутствие вот-вот заметят, поэтому принялся срочно скачивать информацию с почтового сервера компании. Однако хакера никто так и не обнаружил.
Изучив похищенные письма и документы, Фишер заметил, что пропустил кое-что важное – «Rete Sviluppo», изолированную сеть внутри основной сети Hacking Team, где команда хранила исходные коды своего RCS (Remote Control System), то есть шпионского ПО для слежки за пользователями. Рассудив, что у сисадминов должен быть доступ к этой сети, Фишер (уже обладающий привилегиями администратора домена) проник на компьютеры Мауро Ромео (Mauro Romeo) и Кристиана Поцци (Christian Pozzi). На их машины он подсадил кейлоггеры, софт, делающий снимки экрана, поработал с рядом модулей metasploit, а также просто изучил содержимое компьютеров. В системе Поцци обнаружился Truecrypt-том, и Фишер терпеливо дождался, пока разработчик его смонтирует, а затем скопировал оттуда все данные. Среди файлов с зашифрованного тома обнаружился обычный файл .txt с кучей разных паролей. Нашелся там и пароль от сервера Fully Automated Nagios, который имел доступ к закрытой сети Sviluppo для мониторинга. Фишер нашел то, что искал.
Кроме того, просматривая похищенную почту, хакер обнаружил, что одному из сотрудников дали доступ к репозиториям компании. Так как Windows-пароль сотрудника был уже известен Фишеру, он попробовал применить его же для доступа к git-серверу. И пароль сработал. Тогда Фишер попробовал sudo, и всё вновь сработало. Для доступа к серверу GitLab и Twitter-аккаунту Hacking Team взломщик вообще использовал функцию «я забыл пароль», в сочетании с тем фактом, что он имел свободный доступ к почтовому серверу компании.
На этом Фишер счел компрометацию Hacking Team окончательной и всецелой. Он пишет:
«Вот и всё, что потребовалось, чтобы уничтожить компанию и остановить нарушение прав человека. Вот она – красота и ассиметрия хакинга: всего 100 часов работы и один человек может перечеркнуть годы работы многомиллионной компании. Хакинг дает аутсайдерам шанс сражаться и победить».
В конце Фишер отмечает, что он хотел бы посвятить данный взлом и этот подробный гайд многочисленным жертвам итальянских фашистов. Он заявляет, что компания Hacking Team, ее глава Давид Винченцетти (David Vincenzetti), давняя дружба компании с правоохранительными органами – всё это части давно укоренившейся в Италии традиции фашизма. После таких заявлений мотивы Фишера, который пишет о себе как о «этичном хакере», становятся вполне ясны.
Общее количество завершённых закупок виртуальных частных сетей (VPN), по данным «Контур.Эгиды» и Staffcop, в 2025 году выросло на 18,5% в количественном выражении — с 8,7 тыс. до 10,3 тыс. процедур. При этом совокупный объём рынка за тот же период сократился на 25,9% — с 32,97 млрд до 24,43 млрд рублей.
Ключевой причиной столь разнонаправленной динамики аналитики называют заметное снижение средней стоимости контрактов. По итогам 2025 года она уменьшилась на 38% и составила 2,44 млн рублей против 3,92 млн рублей годом ранее.
Одновременно усилилось и снижение цен со стороны поставщиков: с 14,7% в 2024 году до 18,4% в 2025 году.
Наиболее ёмким сегментом рынка VPN остаются закупки по 44-ФЗ. В 2025 году в этом сегменте было проведено 4,3 тыс. процедур на сумму 19,87 млрд рублей. Для сравнения, годом ранее объём закупок по 44-ФЗ составлял 29,18 млрд рублей при 4,1 тыс. процедур. Основным фактором снижения в денежном выражении стало падение средней стоимости контракта почти на треть — с 7,1 млн до 4,62 млн рублей.
Закупки по 223-ФЗ, напротив, продемонстрировали умеренный рост, в том числе в денежном выражении. В 2025 году их объём достиг 3,28 млрд рублей против 2,48 млрд рублей годом ранее, а количество сделок увеличилось с 468 до 532. При этом уровень снижения цены за год вырос с 15,4% до 18,5%, что, по оценке аналитиков, указывает на усиление конкуренции, прежде всего в крупных контрактах.
В коммерческом сегменте в 2025 году было зафиксировано около 1,0 тыс. закупок VPN на сумму 791 млн рублей, тогда как годом ранее — 758 сделок на 965 млн рублей. В малых закупках количество процедур выросло с 3,4 тыс. до 4,5 тыс., а совокупный объём — с 345 млн до 482 млн рублей. При этом средняя стоимость сделки практически не изменилась и составила около 100 тыс. рублей.
Снижение совокупного объёма рынка VPN на фоне роста количества закупок аналитики во многом связывают с эффектом отложенного спроса. Значительная часть крупных заказчиков ранее закрыла потребности в VPN-инфраструктуре, заключив контракты сразу на несколько лет, что снизило потребность в новых крупных закупках в 2025 году.
Дополнительным фактором стало перераспределение части закупок на специализированные электронные площадки, из-за чего снизился «видимый» объём рынка в открытых сегментах 44-ФЗ и 223-ФЗ. Одновременно заказчики всё чаще прибегают к малым и упрощённым процедурам, поскольку такой формат быстрее и удобнее при типовых задачах и ограниченных бюджетах.
Ситуацию на рынке прокомментировал Юрий Драченин, заместитель руководителя продуктовой группы «Контур.Эгида» и Staffcop («СКБ Контур»):
«В сегменте присутствует большое количество производителей, включая новых и нишевых игроков, которые активно выходят к заказчикам с альтернативными решениями. В результате крупные организации, уже внедрившие комплексные и дорогостоящие VPN-платформы, сокращают объёмы новых закупок, тогда как спрос смещается в сторону малого и среднего бизнеса. Это усиливает ценовую конкуренцию и приводит к снижению средней стоимости контрактов при росте количества процедур», — отметил он.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
