To właśnie tym dokumentem Centralne Biuro Antykorupcyjne infekowało swoje ofiary

News/Bezpieczeństwo 10.07.2015
To właśnie tym dokumentem Centralne Biuro Antykorupcyjne infekowało swoje ofiary

To właśnie tym dokumentem Centralne Biuro Antykorupcyjne infekowało swoje ofiary

Z serwerów zajmującej się produkcją złośliwego oprogramowania firmy Hacking Team „wyciekło” ponad 400 gigabajtów informacji. A w nich korespondencja z klientami. W tym z polskim Centralnym Biurem Antykorupcyjnym.

Tworzenie złośliwego oprogramowania na zamówienie nie różni się zbytnio od budowania dowolnego innego programu. Jedna firma owo oprogramowanie buduje, a klient je testuje i zgłasza problemy, lub potem domaga się pomocy technicznej gdy program znajduje się już w fazie produkcyjnej. Przekonujemy się o tym dzięki lekturze danych, jakie wyciekły z Hacking Team.

Znajduje się w nich korespondencja z klientami, w tym z CBA, które miało problemy z trojanami od Hacking Team. Jak czytamy na Zaufanej Trzeciej Stronie, albo serwer trojana nie mógł poprawnie połączyć się z bazą danych, albo występowały awarie związane ze zdefiniowanymi powiadomieniami, albo nie można było nawiązać szyfrowanego połączenia.

Warto zaznaczyć, że CBA zachowywało wszelkie niezbędne środki ostrożności, a za wyciek odpowiada wyłącznie nieostrożność pracowników Hacking Team, choć redakcja Zaufanej Trzeciej Strony wyraziła zdziwienie, dlaczego rządowa agencja korzysta z Gmaila zamiast wykorzystywać skrojone pod siebie na miarę serwery pocztowe.

Jak CBA infekowało swoje ofiary?

Za przykład niech posłuży jeden plik, z którym pracownik CBA miał problemy, o których doniósł do pomocy technicznej Hacking Team. Był to dokument Worda „rewolucja_smieciowa.docx”, a więc dokument o dość “nośnym” tytule. do którego dołączony był exploit. Plik miał być dostarczany ofierze w skompresowanym archiwum, a to oznaczało, że system nie traktował go jako pobranego z Sieci i obniżał poziom zabezpieczeń, pozwalając mu na pobranie konia trojańskiego a, co za tym idzie, pozwalał na wykonanie złośliwego kodu.

W tym przypadku było to odwołanie się do umieszczonego zdalnie pliku Flash, który następnie wykorzystywał lukę w zabezpieczeniach tej wtyczki i pozwalał na dalszą infekcję komputera ofiary.

Dołącz do dyskusji

Advertisement