Hacking Team regresa con una nueva versión de su software de seguridad para gobiernos

adslzone.- Hacking Team es una compañía con sede en Italia que disponía de más de 400 GBytes. de información confidencial y que le fue robada a principios de este año. Pues bien, tras un parón acaba de reanudar sus operaciones y ha empezado a presentar nuevas y mejoradas herramientas para ayudar a diversos grupos gubernamentales a hacer cumplir la ley en torno al cifrado de la información.

Este grupo ha vuelto al mercado con un nuevo conjunto de herramientas de cifrado para que agencias gubernamentales así como otros clientes puedan romper las comunicaciones cifradas. El anuncio se produjo por medio de un correo electrónico enviado a diversos nuevos clientes y a otros ya existentes por el CEO de la firma, David Vincenzetti, donde ha confirmado que está ultimando nuevas e inéditas soluciones de investigación cibernética.

Para Hacking Team, la mayoría de las agencias gubernamentales en los Estados Unidos y otros países están prácticamente «ciegas» y no serán capaces de luchar contra fenómenos maliciosos como el terrorismo cibernético, por lo que solo las empresas privadas como ellos mismos podrán ayudar en este sentido. “Está claro que la actual administración estadounidense no tiene las herramientas para oponerse a los conglomerados de las empresas TI de América y aprobar algunas medidas impopulares pero que sin embargo son totalmente necesarias, por lo que pretenden cambiar las reglas del juego gracias a nuevas soluciones de investigación cibernética”, anuncia Vincenzetti.

Todo comenzó hace unos 4 meses después de que un hacker misterioso o grupo de piratas informáticos atacasen los servidores de Hacking Team consiguiendo sacar más de 400 GBytes. de datos internos incluyendo correos electrónicos., herramientas de hackeo, de día cero, para la vigilancia o el código fuente de la suite de software espía llamada Sistema de Control Remoto o RCS, entre otras cosas.

Desde entonces, según informa la propia compañía de seguridad atacada, Hacking Team ha estado trabajando en el lanzamiento de una nueva y renovada décima edición de su sistema de control remoto de propiedad, el RCS 10. Esta es una suite por la que precisamente la compañía es conocida en todo el mundo. Integra software espía por control remoto también conocido como Galileo y que carga una serie de exploits de día cero que tienen la capacidad de controlar los ordenadores de sus objetivos de manera remota. Sin embargo a día de hoy aún no está claro si la empresa piensa realmente liberar el nuevo RCS 10, ya que algunas fuerzas del orden y potenciales clientes tienen sus dudas acerca de esta compañía debido fundamentalmente a su reciente fallo de seguridad.

Hacking Team preparo un potente veneno para dispositivos iOS sin jailbreak

El famoso "Masque Attack" del año pasado hecho arma.

Imagen: Redmondpie

Hacking Team comprometio dispositivos iOS sin jailbreak usando una variante del masque attack del año pasado, en el que los dispositivos de Apple se infectaban a través de correos electrónicos y mensajes de texto.

Esto es según un estudio de los 400GB de documentos que fueron robados de los sistemas del fabricante de snoop-ware italiano por los hackers, y se filtró en Internet al alcance de todos.

Un análisis de la avanzada suite de ataque móvil del Hacking Team revela que las principales plataformas móviles - iOS, Android, Windows Phone, Blackberry, Symbian, etc - fueron atacadas. Las herramientas de ataque de la empresa intentan todo lo posible por infiltrarse en el dispositivo de la víctima, y ​​permitir el control remoto persistente. Dispositivos comprometidos bajo el control de malware de Hacking Team surgieron en todo el mundo, según la firma de seguridad FireEye.

La investigación dada a conocer por FireEye en la conferencia Black Hat el jueves se centró en ataques contra iOS y Android, las dos plataformas móviles más populares. Trend Micro previamente documento ataques de la empresa en contra de Android, por lo que el ataque a iOS desentrañado por FireEye llama la atención.
Un agente de sistema de control remoto iOS (RCS), diseñado para hackear dispositivos iOS con jailbreak, es uno de los elementos que surgieron en el arsenal del Hacking Team. Más sorprendentemente, otros ataques contra dispositivos iOS sin jailbreak también hicieron acto de presencia en el archivo de correo electrónico comprometido de la firma italiana.

El Ataque Masque - antes sólo abusado por el malware WireLurker - juega un papel central en los intentos de hackear iPhones y iPads en regulación (no-jailbreak). El ataque se aprovecha de un defecto de seguridad - parcheado el año pasado - que permite a una aplicación de iOS con el mismo nombre de archivo - independientemente del desarrollador - reemplazar una aplicación legítima.

La aplicación maliciosa tiene que ser firmada utilizando un certificado de empresa - diseñado para el despliegue de software en las empresas sin tener que pasar por la App Store oficial - y el usuario tiene que hacer clic a través de un aviso.

Software Doppelgänger

Una aplicación de control remoto desarrollada por Hacking Team puede descargar aplicaciones Masque Attack de un servidor remoto y tiene un panel de control para configurar el comportamiento malicioso de las aplicaciones Masque Attack instaladas, principalmente versiones re-empacadas de aplicaciones de redes sociales populares. Versiones Doppelgänger de Skype, Twitter, Facebook, Facebook Messenger, WhatsApp, Google Chrome, WeChat, Viber, Blackberry Messenger, VK y Telegram.

Las aplicaciones modificadas cuentan con un binario adicional para exfiltrar datos sensibles y comunicarse con el servidor remoto. Debido a que todos los identificadores de paquete son las mismas que las aplicaciones genuinas en App Store, pueden sustituir directamente a las aplicaciones originales en los dispositivos iOS antes de la versión 8.1.3 (la versión del software IOS de Apple que corrige la vulnerabilidad Masque Attack).

Si se logran instalar, las aplicaciones troyanas ejecutarán los comandos y extraeran datos desde dispositivos comprometidos. Las vulnerabilidades Masque Attack fueron parcialmente arregladas en iOS 8.1.3, sin embargo, la solución fue suficiente para bloquear los ejemplares de malware de Hacking Team que FireEye encontró. Investigadores de FireEye reportaron nuevos tipos de vulnerabilidades de Masque Attack, y los nuevos tipos fueron arreglados hasta iOS 8.4. Aunque técnicamente posible, la versión actual de malware de Hacking Team no explota estas nuevas vulnerabilidades.

El ataque es uno de los más avanzados hasta la fecha contra los teléfonos inteligentes y las tabletas, según FireEye. La empresa de seguridad reconoce los mismos o similares planteamientos son susceptibles a ser utilizados por otros grupos de hacking, incluidas las agencias de inteligencia.

"Esta es la primera infraestructura de ataque verdaderamente avanzada utilizando el Masque Attack vista hasta la fecha, y es un punto de prueba de que los atacantes avanzados finalmente están poniendo un poco de rigor real detrás de los teléfonos inteligentes, tabletas y productos de Apple," FireEye concluye. "El panorama de las amenazas de la seguridad móvil mundial está evolucionando hacia una nueva era, donde los atacantes comienzan a agotar todas las posibles vulnerabilidades para obtener capacidades y privilegio, y que también están tratando de evadir la detección y sigilosamente controlar los dispositivos víctimas de forma persistente."

Fundador de VUPEN lanza nueva firma de Adquisicion de Vulnerabilidades Dia Cero llamada Zerodium

En las semanas desde el ataque a Hacking Team, el centro de atención ha brillado en ángulo recto hacia las pequeñas y a menudo sombrías empresas que están en el negocio de compra y venta de exploits y vulnerabilidades. Una de estas empresas, Netragard, esta semana decidió salir de ese negocio después fueron expuestos sus relaciones con Hacking Team. Pero ahora hay un nuevo competidor en el campo, Zerodium, y hay algunos nombres conocidos detrás de él.

La compañía fue lanzada por Chaouki Bekrar, fundador de VUPEN, un vendedor de vulnerabilidades y exploits que a menudo se encuentra en el centro de las discusiones acerca de la legalidad y la ética de este tipo de empresas. VUPEN es una de las empresas raras en ese campo que hace todo desde su propia investigación y desarrollo; no compra vulnerabilidades o exploits de fuentes externas.
Pero ahora, en un momento en que nunca ha habido más atención por parte de los legisladores, medios de comunicación y gobiernos, Bekrar ha creado una nueva empresa enfocada directamente a la compra de bugs y exploits.

Zerodium planea centrarse exclusivamente en la compra de vulnerabilidades de alto riesgo, dejando a un lado el extremo inferior del espectro. La compañía utilizará las vulnerabilidades que adquiere para compensar una fuente de vulnerabilidades, exploits, y medidas defensivas, que proporciona a los clientes.

"ZERODIUM paga recompensas de primera calidad a los investigadores de seguridad para adquirir sus descubrimientos de día cero y exploits que afectan a los sistemas operativos utilizados, software y / o dispositivos. Mientras que la mayoría de los programas existentes de recompensas de errores puede aceptar casi cualquier tipo de vulnerabilidades y PoCs pero paga recompensas bajas, en ZERODIUM sólo nos centramos en las vulnerabilidades de alto riesgo con exploits completamente funcionales y fiables, y pagamos recompensas más altas ", dice el sitio de la compañía.

Zerodium buscará vulnerabilidades y exploits para las plataformas y aplicaciones más utilizadas, incluyendo Windows, OS X, y Linux; los cuatro principales navegadores; Flash y Reader; Microsoft Office; Android, iOS, BlackBerry y Windows Phone; y los principales servidores de correo y web. Lo que la empresa no está interesado es en la compra de exploits o vulnerabilidades en servicios web como Google o Twitter funcionando parcialmente.

"ZERODIUM no adquiere vulnerabilidades teóricamente explotables o no explotables. Sólo adquirimos vulnerabilidades de día cero con un completo y funcional exploit de una sola etapa o múltiples etapas, por ejemplo exploit de navegador con o sin bypass de sandbox/escape son ambos elegibles ", según la compañía.

 La compañía dice que va a pagar precios más altos por los bugs y exploits que está buscando y no va a comprar a los investigadores que viven en países que son sancionados por las Naciones Unidas o de Estados Unidos. Zerodium no especifica a qué tipo de empresas u organizaciones venderá su servicio, pero Bekrar siempre ha dicho que VUPEN sólo vende sus exploits a los organismos policiales y clientes gubernamentales en los países no sancionados.

"Sólo vendemos a las democracias. Respetamos la normativa internacional, por supuesto, y sólo vendemos a los países de confianza y las democracias de confianza ", dijo Bekrar en una entrevista con Threatpost en 2012." Nosotros no vendemos a los países opresores. "

VUPEN ofrece un servicio de suscripción que suministra a clientes con datos de vulnerabilidades y exploits de día cero y otros bugs. Los clientes de la compañía han incluido la NSA.

La demanda de las vulnerabilidades de alta gama y hazañas no muestra signos de disminución. Las agencias de inteligencia, las organizaciones policiales y muchas otras agencias gubernamentales en países de todo el mundo están ampliando sus capacidades de seguridad ofensivas y un ingrediente clave en la forma en que estos equipos operan es el uso de días cero. Los exploits para vulnerabilidades reveladas a menudo se utilizan para comprometer los sistemas de destino como parte de las investigaciones policiales y operaciones de inteligencia, una práctica controvertida que se ha vuelto aún más a raíz de la exposición de Hacking Team hace tres semanas.

Control total de dispositivos Android por Hacking Team

(el comercio) - Los datos robados de Hacking Team continúan otorgando información sobre las técnicas de infiltración de la compañía italiana. El último hallazgo es una aplicación de noticias falsa disponible para Android, que se utilizó para instalar su herramienta de vigilancia en teléfonos y tabletas con ese sistema operativo.

La aplicación se llama ‘BeNews’, el mismo nombre que un sitio web de noticias que existió entre 1998 y 2002, escribió Wish Wu, ingeniero de respuesta a amenazas móviles de Trend Micro en el blog de la empresa.

Dentro de la aplicación se encuentra insertado un ‘backdoor’ que parece haber sido utilizado para cargar la versión para Android del Sistema de Control Remoto de Hacking Team (RCS, siglas para ‘Remote Control Sistem’), conocido como Galileo, la herramienta de recolección de datos que la empresa vendió a diferentes organismos de seguridad en todo el mundo. Ese componente malicioso se aprovecha de una vulnerabilidad de escalamiento local de privilegios, CVE-2014-3153, según detalla Wu. Esta vulnerabilidad es eficaz contra las versiones de Android desde Froyo 2.2 a 4.4.4 KitKat que no tengan parches de seguridad instalados adecuadamente.

"Creemos que Hacking Team proporciona la aplicación a los clientes para ser utilizada como un señuelo para descargar el ‘malware’ RCSAndroid en dispositivos Android del blanco a ser espiado", escribió Wu.

Google escanea su tienda de aplicaciones para aplicaciones potencialmente maliciosas, pero parece que Hacking Team ideó un método para que ‘BeNews’ no fuera clasificada como 'malware' después de ser cargada en la tienda.

Las aplicaciones de Android piden permiso para realizar ciertas actividades. ‘BeNews’ inicialmente pide sólo tres permisos benignos con el fin de evitar ser bloqueada por Google, y ningún código de explotación (o ‘exploit’) se incluye en la aplicación, asegura Wu.

Después de su paso por el proceso de examinación de Google, utiliza un proceso de descarga dinámica para bajar y ejecutar el componente malicioso después que el usuario del teléfono haya descargado la aplicación.

Trend Micro encontró el código fuente de este ‘backdoor’ y del servidor en los más de 400 GB de datos robados a Hacking Team, empresa que durante mucho tiempo había sido criticada por vender sus herramientas de espionaje a países con los prácticas cuestionables en materia de Derechos Humanos y libertades civiles. La empresa de seguridad también encontró instrucciones detalladas destinadas a clientes de Hacking Team, que describen cómo implementar la aplicación maliciosa.

Desde el ‘hackeo’ efectuado a Hacking Team, esta empresa ha indicado que planea desarrollar una nueva versión su RCS que permita a sus clientes reanudar lo que han denominado "las investigaciones criminales y de inteligencia".

La violación de los datos expuestos cuenta con varias vulnerabilidades de día cero, incluyendo tres en Adobe Systems Flash Player que eran utilizadas por los clientes de Hacking Team para instalar el RCS de la compañía en los dispositivos de sus blancos. Adobe y Microsoft han emitido parches para corregir errores relacionados con el software de Hacking Team, lo que significa que la empresa italiana puede necesitar nuevas vulnerabilidades de día cero para ejecutar la nueva versión.

Milano: Herramienta Gratuita que Verifica si tienes Malware o Exploits del Hacking Team en tu sistema

Los investigadores de Rook Security han lanzado una herramienta gratuita, llamada Milano, que es capaz de detectar la presencia de malware del Hacking Team en los sistemas de destino.

Los investigadores de Rook Security han lanzado una herramienta gratuita, llamada Milano, que es capaz de detectar la presencia de malware de Hacking Team en los sistemas de destino. Los expertos también han publicado una serie de indicadores de compromiso que podría ayudar a las organizaciones a reconocer la infección de RCS.

Rook ha estado trabajando con el FBI en Indianápolis para detectar las herramientas de HackingTeam y exploits según ha explicado el director general JJ Thompson.

"Este incumplimiento ha sido muy singular en el internet y es un reto para los proveedores de tecnología de seguridad obtener ejemplos de código para crear firmas y parches, dejando decenas de sistemas potencialmente vulnerables a los actores nefastos que buscan militarizar herramientas propietarias de Hacking Team", explicó JJ Thompson. "Después de nuestro Equipo de Inteligencia dedujo rápidamente cómo podría presentarse el código filtrado y utilizado para causar mas daños, inmediatamente organizamos un equipo para identificar, analizar y detectar archivos maliciosos ubicados en estos datos."

La herramienta Milano desarrollada por la empresa Rook Security ejecuta un análisis de malware en dos modos diferentes, análisis rápido y profundo. El análisis rápido tarda unos segundos, mientras tanto una búsqueda profunda del malware RCS y puede tomar hasta una hora, dependiendo del sistema.
Mientras que los expertos en seguridad están analizando las herramientas y exploits de HackingTeam, la compañía anunció que regresará pronto, ejecutivos de la empresa han dicho estar trabajando en una versión totalmente nueva de la RCS.

"Este es un reemplazo total del sistema existente « Galileo », no simplemente una actualización", dijo el COO de HackingTeam David Vincenzetti. "Por supuesto, incluirá nuevos elementos para proteger los sistemas y los datos teniendo en cuenta el impacto del ataque contra HackingTeam."

Para los encargados de sistemas en empresas o computadoras particulares que deseen escanear sus equipos, aqui esta la liga para la descarga de la herramienta:

Descarga Milano

Drone WiFi escupe-spyware: En la lista de tareas de Boeing

(Security Affairs) - Los expertos que están analizando los correos electrónicos internos de Hacking Team descubrieron que la empresa está trabajando en el desarrollo de un avión armado no tripulado.

Los expertos en seguridad siguen cavando en los correos electrónicos internos filtrados de Hacking Team, la última revelación se relaciona con el desarrollo de un vehículo aéreo no tripulado con la capacidad de ejecutar ataques cibernéticos en los ordenadores y dispositivos móviles a través de redes Wi-Fi. Al leer el intercambio de correo electrónico del equipo hacker, es posible verificar que tanto Boeing y Hacking Team estaban trabajando en un nuevo modelo de aviones no tripulados para su uso como vector de ataque. El vehículo aéreo no tripulado se describe como un avión no tripulado que tiene que ser capaz de ejecutar ataques cibernéticos contra objetivos a través de WiFi, el vehículo tiene la capacidad de inyectar spyware en los sistemas de destino con el fin de espiar a las víctimas.

De acuerdo con los correos electrónicos internos, después de asistir a la Exposición y Conferencia de Defensa Internacional (IDEX) en Abu Dhabi, en febrero 2015, la empresa Insitu expreso su interés en los aviones no tripulados armados, que fueran capaces de servir el spyware desarrollado por el Hacking Team, el sistema de mando a distancia Galileo, con propósitos de vigilancia.

Insitu ya produce los aviones no tripulados de vigilancia ScanEagle y RQ-21A "Blackjack", es probable que la compañía está pensando en desarrollar un nuevo avión no tripulado armado.

Uno de los correos enviado por Giuseppe Venneri, un empleado de Insitu, al gerente de cuentas clave de Hacking Team Emad Shehata en abril 2015 meciona:

Vemos potencial en la integración de su capacidad de hackear Wi-Fi en un sistema suspendido en el aire [drones] y estaría interesado en iniciar una conversación con uno de sus ingenieros [personal de Hacking Team] para revisar, con mayor profundidad, la capacidades de payload, incluyendo tamaño detallado, peso y características de energía de su sistema Galileo.

A pesar de que el contenido del correo electrónico es explícito, no hay información específica en otro mensaje sobre el posible comprador para los aviones no tripulados armados.

En uno de los correos electrónicos filtrados , el co-fundador Marco Valleri proporciona información detallada sobre proyectos en curso, incluyendo planes de trabajo para las actividades de desarrollo. Entre los proyectos, está la "Inyector de Red Táctica" (TNI), un dispositivo de hardware diseñado para inyectar el malware en redes Wi-Fi.

Un avión no tripulado equipado con un Inyector de Red Táctica podría actuar como un punto de acceso falso utilizado por los hackers para lanzar ataques man-in-the-middle (MITM) o para servir exploits.

El principio es simple, si el objetivo está utilizando una red Wi-Fi pública, las fuerzas de aviones no tripulados se conectan a su punto de acceso con el fin de ejecutar ataques MITM e inyectar código malicioso diseñado por el Hacking Team.

En la siguiente imagen, se reporta un extracto del correo electrónico relacionados con el Inyector de Red Táctica, la lista de tareas incluye también el nombre del recurso asignado al proyecto, el empleado de Hacking Team Andrea Di Pasquale.

Di Pasquale estaba a cargo del desarrollo de un componente robusto que debe ser transportable por un avión no tripulado (obligatorio), y para la creación de un micro Inyector de Red Táctica utilizable por un vehículo aéreo no tripulado.

TheHackerNews especula sobre un posible interés de la inteligencia de Estados Unidos en el desarrollo de un avión no tripulado armado.

Sólo para su información, a principios del 2014 investigadores como Sensepoint desarrollaron una aplicación llamada Snoopy, ejecutada en drones para robar datos de los usuarios, el software busca la señal de teléfonos inteligentes mientras que busca una red WI-Fi. El avión no tripulado equipado con el software de Snoopy puede engañar a los dispositivos móviles al hacerlos creer que es un punto de acceso de confianza, posteriormente, la aplicación puede acceder a los datos del teléfono.

Según los creadores, Snoopy era capaz de robar una gran cantidad de información de las víctimas, incluidas las credenciales de usuario, números de tarjetas de crédito, datos de localización, credenciales de Amazon, PayPal y Yahoo de ciudadanos al azar en las calles de Londres.

Para proteger los datos del usuario se sugiere fuertemente a los propietarios de dispositivos móviles el apagar cualquier proceso de conexión automática, incluyendo función de búsqueda de redes WI-Fi.

Olvidate de Hacking Team - muchas otras compañías venden tecnología de vigilancia a regímenes represivos

Hace unas semanas, un hacker no identificado violó el sistema de Hacking Team, una empresa italiana que vende software de ciber-vigilancia para los gobiernos de todo el mundo. El hacker entonces libero 400 GB de documentos internos de la empresa en línea. Dentro de ese tesoro contenía revelaciones de Hacking Team había vendido en repetidas ocasiones su software de vigilancia a los gobiernos con los registros con menos reputación en materia de derechos humanos y libertad de expresión.

Los documentos filtrados muestran que Hacking Team había vendido sus productos a los servicios de inteligencia de Sudán, que Amnistía Internacional ha acusado de violar sistemáticamente los derechos humanos a través de la tortura y la censura generalizada. La compañía también se reveló haber prestado sus herramientas de espionaje a los gobiernos éticamente cuestionables en Turquía y Marruecos.

Esta fuga ha traído un grado enorme de atención en Hacking Team, pero la compañía es apenas uno de una especie. Es parte del rápido crecimiento del ecosistema de las empresas privadas que prestan software de vigilancia de inteligencia al gobierno y las fuerzas del orden.

En los años desde los ataques del 9/11 estimularon al gobierno estadounidense a invertir fuertemente en herramientas de vigilancia electrónica para combatir el terrorismo, otros gobiernos de todo el mundo se han interesado en la creación de sus propios sistemas similares. Mientras que los EE.UU. pueden darse el lujo de gastar más de $ 52 mil millones al año en agencias de recolección de inteligencia como la Agencia de Seguridad Nacional y la Agencia Central de Inteligencia para crear una redada omnipresente en las comunicaciones electrónicas de sus ciudadanos, otros países pueden estar en más de un presupuesto. Los documentos filtrados muestran que de Hacking Team estaba cobrando a sus clientes tan poco como $ 50.000 por año para acceder a su software, que era parcheado continuamente por la empresa para evitar la detección.

En 2001, la industria de la vigilancia en línea privada apenas existía. Para el año 2014, generó más de $ 5 mil millones en ganancias anuales.

Hacking Team puede ser una de las empresas de más alto perfil en este espacio, incluso antes de que sus secretos se derramaron hacia fuera sobre la Web, pero es sólo una de las muchas empresas con antecedentes de vender tecnología que ayuda a regímenes represivos a espiar a sus súbditos.

La Coalición contra las exportaciones ilegales de vigilancia es un esfuerzo internacional por ocho grupos sin fines de lucro, como Reporteros sin Fronteras y Human Rights Watch para mantener este tipo de tecnologías de vigilancia y censura de las manos de los regímenes que los usarían para mal. Existen al menos 22 empresas, entre ellas de Hacking Team, conocidas por la venta de tecnología a gobiernos desagradables.

Aquí está un resumen parcial de algunas otras empresas de la misma actividad que Hacking Team:

Gamma Internacional

El Grupo Gamma, una empresa con sede en Reino Unido, que ahora se encuentra en Alemania, es más conocida por un programa llamado FinFisher, un conjunto de herramientas de software espía comerciales que se pueden utilizar para supervisar las comunicaciones electrónicas de los sistemas en la mira. Expertos en ciberseguridad han encontrado FinFisher desplegado en decenas de países de todo el mundo, incluyendo los violadores de derechos humanos conocidos como Bahrein, Turkmenistán, y Etiopía.

En 2013, los investigadores de Citizen Lab, un grupo de la Universidad de Toronto que trabajan en la intersección de la ciberseguridad y los derechos humanos internacionales, encontraron un pedazo de FinFisher de malware dirigido a infectar los sistemas de los miembros de un partido de oposición etíope marcado por el gobierno como un grupo terrorista. Por la misma época, el gobierno etíope también fue capturado utilizando software de vigilancia realizados por Hacking Team, lo que indica que el gobierno estaba comprando activamente en torno a múltiples proveedores de tecnología de vigilancia.

Wikileaks ha publicado dos veces filtrados de datos que revelan el funcionamiento interno de FinFisher. En 2011, la organización sacó los documentos internos que detallan productos de la empresa y luego, en 2014, se filtró la versión completa del software para que los investigadores de seguridad pudieran separan y analizar.

VASTech

VASTech de Sudáfrica atrajo la atención internacional en 2011 cuando el Wall Street Journal reveló que había proporcionado la tecnología que permite el régimen del dictador libio ahora depuesto-Momar Gadafi interceptar y grabar todas las llamadas telefónicas que entran y salen del país. Las revelaciones levantaron mucha atencion en Sudáfrica no sólo debido al récord mediocre del régimen de Gadafi sobre los derechos humanos, sino también por el desarrollo de herramientas de monitoreo de VASTech fue suscrito por una donación de US $ 4 millones del gobierno de Sudáfrica.

Blue Coat

Blue Coat es una empresa con sede en Estados Unidos que vende software de vigilancia. Los EE.UU. tiene sanciones en su lugar contra el comercio con países como Irán, Siria y Sudán debido a los abusos de derechos humanos. Sin embargo, Reflets una agencia de noticias francesareveló que los sistemas de monitoreo de Blue Coat estaban activos en Siria e Irán. "Esta es una clara violación del derecho de embargo de los EE.UU., y que la tecnología es, sin lugar a duda, que se utiliza para violar los derechos humanos", dijo el reportero de Reflets, Fabrice Epelboin en 2013.

Un informe de ese mismo año por Citizen Lab también encontró la tecnología de Blue Coat activa en redes en línea en Sudán. Por su parte, Blue Coat afirmó que no estaba vendiendo directamente a los gobiernos prohibidos y, en cambio, los servicios de inteligencia del gobierno había obtenido el engranaje de la vigilancia a través de un intermediario que lo revendió a ellos.

Nokia

Valorado en $ 28 mil millones de más, Nokia es una de las compañías de telecomunicaciones más reconocibles del planeta. A pesar de su tamaño y prominencia, la compañía se ha metido en problemas por proporcionar la tecnología utilizada por el gobierno iraní para monitorear las redes de teléfonos celulares y reprimir a los disidentes durante las protestas pro-democracia en torno a las controvertidas elecciones del 2009 en el país. Utilizando la tecnología proporcionada principalmente por la filial de Nokia Trovicor, las autoridades iraníes fueron capaces de bloquear las transmisiones de radio y televisión internacionales, así como censurar los sitios de redes sociales como Twitter y Facebook.

En 2010, el Parlamento Europeo aprobó una resolución pública cerrando la compañía para "facilitar a las autoridades iraníes con la censura necesaria y la tecnología de vigilancia, así un papel clave en la persecución y detención de disidentes iraníes."

Netsweeper

No todas las empresas que participan en esta industria simplemente hacen vigilancia. En 2013, los sistemas desarrollados por la firma canadiense Netsweeper fueron utilizados por el gobierno paquistaní para censurar grandes franjas de contenido a nivel de ISP. Sitios bloqueados incluidos los que cubren los derechos humanos y la libertad de expresión por parte de las minorías étnicas y religiosas.

Narus

Una filial del gigante de la ingeniería aeroespacial Boeing, Narus inicialmente trabajó en la creación de sistemas para ayudar a monitorear el tráfico ISP en su red para aumentar la eficiencia de facturación. Post-9/11 la empresa se ha diversificado. Vendió la tecnología de inspección profunda de paquetes para filtrar contenido y realizar un seguimiento de los usuarios en la red de Telecom de Egipto durante la Primavera Árabe.

La compañía también vende sistemas para el gobierno de Arabia Saudita para bloquear el tráfico de VoIP como medio de proteger el operador telefónico nacional de la competencia y también para bloquear el acceso a sitios web que el gobierno saudí considere peligroso. Mientras que grupos como Amnistía Internacional han catalogado una letanía de abusos contra los derechos humanos en Arabia Saudí, las llamadas por los activistas para bloquear las ventas de monitoreo en línea y software de filtrado caen en oídos sordos cuando el propio gobierno de Estados Unidos recientemente vendió $30 mil millones de dólares en aviones de combate a Arabia Saudí.

Spyware de Hacking Team utiliza un Rootkit de UEFI BIOS para obtener persistencia

Documentos filtrados en línea después del ataque a Hacking Team revelaron que la compañía utiliza un rootkit de BIOS UEFI para obtener persistencia de su software espía.

La violación de datos reciente sufrida por la empresa de vigilancia de Hacking Team esta impactando a la industria de la seguridad informática, los hackers filtraron correos electrónicos de la empresa, códigos fuente y contratos que revelan verdades incómodas.

Los expertos en seguridad centraron principalmente su análisis en las herramientas de hacking y códigos exploits incluidos en el paquete de 400 GB  que se filtró en Internet. El archivo incluye una serie de exploits de día cero para Adobe Flash Player y Microsoft Internet Explorer, estos códigos son sólo parte del arsenal de hacking de la empresa de vigilancia, que desarrolló el popular software espía Sistema de control remoto (RCS), también conocido como Galileo. RCS tiene una estructura modular que le permite poner en peligro varios objetivos mediante la carga de los exploits de día cero necesarios.
La última revelación hecha por los expertos de Trend Micro en orden cronológico, es la disponibilidad de un rootkit UEFI BIOS en el arsenal del Hacking Team que permite a la empresa garantizar la persistencia de su software malicioso incluso si las víctimas formatean su disco duro y vuelven a instalar el sistema operativo.

"Hacking Team utiliza un rootkit UEFI BIOS para mantener su agente del sistema de control remoto (RCS) instalado en los sistemas de sus objetivos". Esto significa que incluso si el usuario formatea el disco duro, vuelve a instalar el sistema operativo, e incluso si compra un disco duro nuevo, los agentes se implantan después de que Microsoft Windows sea instalado". Afirma Trend Micro.

El rootkit UEFI BIOS utilizado por el Hacking TEam fue diseñado específicamente para comprometer los sistemas BIOS UEFI desarrollados por dos de los vendedores más populares, los proveedores Insyde y AMI.

Los expertos del Hacking Team explicaron que los atacantes necesitan acceso físico a la máquina de destino para servir el rootkit BIOS UEFI por el BIOS.

"Una presentación de diapositivas de Hacking Team afirma que la infección con éxito requiere acceso físico al sistema de destino; Sin embargo, no podemos descartar la posibilidad de la instalación remota. Un escenario ejemplo de ataque sería: El intruso obtiene acceso al equipo de destino, se reinicia en consola UEFI, vuelca el BIOS, instala el rootkit BIOS, reflashea el BIOS, y luego reinicia el sistema de destino ", continúa el mensaje.

Para evitar este tipo de ataques Trend Micro recomienda:

• Asegúrate que UEFI SecureFlash está habilitado
• Actualiza la BIOS cada vez que haya un parche de seguridad
• Establecer una contraseña de BIOS o UEFI

¿Quien Hackeo al Hacking Team?

El grupo detrás de un ataque en el 2014 sobre los autores del spyware FinFisher se han tomado el crédito por el ataque al fabricante de software de vigilancia italiano Hacking Team.

El spyware es un tipo de software diseñado para espiar y recoger información sobre las máquinas en las que se instala sin el conocimiento del usuario.

El ultimo ataque vio a los hackers infiltrarse en la red del Hacking Team con sede en Italia para robar y publicar en línea más de 400 GB de datos de la empresa y de tomar temporalmente el control de su cuenta de Twitter.

Entre los datos robados incluyen una lista de los clientes actuales de Hacking Team - muchas de las cuales son agencias gubernamentales - correspondencia por correo electrónico, y el código fuente de varios de sus softwares de vigilancia.

El ataque sigue la misma estrategia que el que se registro en el 2014 contra Gamma International UK, una empresa que fabrica y vende el software espía FinFisher. El ataque vio a los hackers de manera similar violar los sistemas de Gamma Internacional del Reino Unido y publicar información robada en línea.

Inicialmente hubo un grupo que salto a reclamar la responsabilidad por el ataque. Sin embargo, la cuenta de "Phineas Fisher" en Twitter utilizada en el 2014 para dar a conocer el ataque de FinFisher dejó un mensaje vago, que el escritor de Motherboard Lorenzo Franceschi-Bicchieraisrc dice confirma que son responsables.

En el momento de la publicación de la cuenta Phineas Fisher no ha respondido a la solicitud para hacer comentarios.

Sin embargo, F-Secure asesor de seguridad Sean Sullivan dijo que sin más información de la cuenta es difícil verificar si la reclamación es legítima."Esa cuenta fue utilizada para enlazar a FinFisher cosas en agosto de 2014. Creo que recuerdo haber visto la cuenta en ese entonces. Pero no hay nada más conectarlo a un grupo", dijo.

El especialista en seguridad ESET Mark James dijo, independientemente de quien llevo a cabo el ataque, la pregunta más grande es cómo llegaron los datos y lo que planean hacer con ellos, ya que muchos de los clientes de Hacking Team se convertirian en objetivos atractivos continuar con los ataques. "No hay indicios todavía de cómo sucedió el hack", dijo. "[Pero] el tipo de negocio en que se encuentran, junto con el tipo de clientela que atraen, los ha convertido en un objetivo muy lucrativo de muchos grupos de Internet."

Itsik Mantin, director de investigación de seguridad Imperva en Imperva, estuvo de acuerdo y añadió que los hackers podrían utilizar los datos que robaron de Hacking Team para devastar a sus clientes.

"La información filtrada puede incluir propiedad intelectual del Hacking Team y secretos comerciales, así como información personal sobre el equipo, información de negocios en los clientes, incluyendo clientes como agencias de la ley", añadió.

"Los datos robados en este ataque masivo, así como las credenciales de usuario, se pueden utilizar, o pueden haber sido utilizados, para extender el ataque y obtener más datos."El ataque al Hacking Team es uno de los muchos ataques de alto perfil cibernéticos que se producieron durante la última semana. Un grupo de hackers, conocido en línea como equipo GhostShell, afirmó haber hackeado con éxito más de 300 sitios web y publicar datos personales de más de 13.000 usuarios en línea el 1 de julio.

La cuenta  de Phineas Fisher dijo que revelara los detalles de como comprometio a Hacking Team hasta que ellos mismos no logren resolverlo y cierren el negocio, en el siguiente tweet:

I'll writeup how hacking team got hacked once they've had some time to fail at figuring out what happened and go out of business

— Phineas Fisher (@GammaGroupPR) July 7, 2015

Firma de Vigilancia Hacking Team hackeada

Hacking Team, la empresa italiana de vigilancia que desarrolla software espía y hacking ha sido hackeada por atacantes que exfiltraron algunos 400Gbs de datos.

La firma de seguridad italiana Hacking Team habria sido hackeada, atacantes desconocidos han exfiltrado algunos 400Gbs de datos. La compañía ha estado a menudo en el centro de un acalorado debate debido a las soluciones de vigilancia que desarrolla, muchos expertos y privacidad defendidos argumentan que la empresa vende sus productos a regímenes opresivos y dictatoriales.
Al momento del reporte, no hay información sobre cómo se llevó a cabo el ataque, o incluso cuando ocurrió.
El Hacking Team presuntamente vende sus soluciones a clientes en el Líbano, Omán, Arabia Saudita y Sudán, por esta razón, hacktivistas de Reporters Without Borders marcó a la compañía como un enemigo de la Internet.

El domingo Eva Galperin, analista de la política global de la Electronic Frontier Foundation, compartió la lista de países que dice son clientes del Hacking Team italiano.  

 

Según el exploit activista Christopher Soghoian (csoghoian), Chile supuestamente compró software de vigilancia año pasado por US $ US2.85 millones.

Los datos robados han sido subido en BitTorrent, que incluye un gran número de directorios que contienen código fuente, correos electrónicos, así como grabaciones de audio.

Entre las soluciones de software vendidos por el Hacking Team, está la plataforma de vigilancia Da Vinci, un software utilizado por las fuerzas del gobierno para espiar a sospechosos.

Los hackers también hackearon la cuenta de Twitter de Hacking Team para compartir capturas de pantalla de los datos robados, como prueba del ataque. 

 

Los hackers están twitteando los supuestos contenidos de mensajes del CEO del equipo David Vincenzetti lo que demuestra que la empresa está haciendo negocios con gobiernos opresivos. Los listados de torrent también incluyen credenciales de acceso para sitios de soporte de la compañía en Egipto, México y Turquía.

Mantengase alerta, Hacking Team esta comprobando la veracidad de los datos expuestos, seguiremos actualizando.