Filtran 400GB de información confidencial del grupo Hacking Team

Empezamos la semana con una noticia de alcance en el mundo de la seguridad informática. La empresa de seguridad Hacking Team ha visto cómo unos atacantes han conseguido acceder a sus sistemas y han robado y publicado más de 400GB de información acerca de sus actividades.

Normalmente esta sería otra noticia más hablando de alguna de las múltiples intrusiones que se producen a diario en empresas de todo el mundo. Sin embargo, las actividades a las que se dedica Hacking Team hacen de este ataque algo especialmente importante.


Venta de herramientas de espionaje

Hacking Team es conocida por las herramientas de vigilancia y espionaje que desarrolla (con la herramienta Da Vinci a la cabeza) y vende a países y organizaciones de todo el mundo. Por eso resulta tan polémico conocer el listado de sus clientes, listados que supuestamente están ya circulando (junto con otro tipo de material confidencial como correos y código fuente) por todo Internet.

Precisamente por lo polémico de estas actividades esta noticia está causando gran revuelo, no solo entre los que integramos el mundo de la seguridad informática sino también entre los medios generalistas. Sin duda, la lista de clientes publicada es polémica, pero se tendría que contrastar para poder aceptarla como confiable y, en el momento de escribir estas líneas, no es posible hacerlo.

Cronología del ataque

Todo este ataque se produjo durante la pasada madrugada y parece que, si hacemos caso a parte del material filtrado, buena culpa de que el ataque tuviese éxito fue por el uso de contraseñas débiles. Entre estas contraseñas estarían las del Twitter oficial, desde donde los atacantes empezaron a publicar emails confidenciales y, finalmente, un enlace desde donde poder descargar toda la información robada.





Aparentemente, los responsables de Hacking Team se han enterado de este ataque cuando se han despertado esta mañana y Christian Pozzi, uno de los miembros de esta empresa, ha hecho unas declaraciones:





Al respecto del material filtrado Pozzi ha dicho: "No crean todo lo que vean. Mucho de lo que los atacantes han dicho no es verdad. Se están propagando un montón de mentiras sobre nuestra empresa. El fichero torrent con la información robada contiene un virus".

Al respecto de este malware incluido en este fichero, puede que Pozzi se refiera a alguna de las herramientas que su empresa utiliza para realizar labores de vigilancia. No obstante, debido a la repercusión de la noticia, recomendamos estar alerta por si aparecieran nuevos enlaces de descarga preparados por delincuentes y que sí contuvieran malware.

Volviendo a las declaraciones de los responsables de Hacking Team, Pozzi dijo que ya habían avisado a sus clientes de este ataque y que su compañía no realiza nada ilegal: "Nosotros tan solo proporcionamos soluciones de software adaptadas a las necesidades de nuestros clientes"
declaró Pozzi.

La polémica sobre el malware gubernamental o policeware

Siendo Hacking Team una empresa encargada de desarrollar software un tanto polémico no es de extrañar el revuelo provocado. Pero como cada vez que se produce una situación similar, las empresas que nos dedicamos a la seguridad informática y a proteger los datos de los usuarios somos preguntadas acerca de nuestra capacidad de detección de amenazas pensadas para ser utilizadas por gobiernos y fuerzas policiales.

Esta pregunta no es algo que nos pille por sorpresa y en ESET ya dejamos clara nuestra posición al respecto cuando fuimos preguntados acerca de este tema e incluso cuando se produjo una situación similar con el troyano Finfisher.

Precisamente, el troyano Finfisher es un precedente que con el caso de Hacking Teamead, puesto que la empresa desarrolladora también lo vendía a países y organizaciones de todo el mundo hasta que varias muestras y un listado de clientes fueron publicados por WikiLeaks.


Conclusión

Esta filtración demuestra que ninguna empresa está libre de este tipo de incidentes, ni aunque se dedique a tareas de seguridad de alto nivel. Tan solo un descuido o una contraseña poco segura puede desencadenar un incidente de este tamaño que dañe severamente la confianza de sus usuarios en la empresa o incluso provoque reacciones de mayor magnitud, como parece que va a ser el caso si se confirma la veracidad de los datos filtrados.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Segun comunican en su web oficial (No tienes permitido ver los links. Registrarse o Entrar a mi cuenta), la filtracion que tuvo lugar en sus servidores  fue parcial y de contenido obsoleto. Ya han arreglado sus problemas de permeabilidad del sistema y estan reestructurando su red.
Por otro lado, estan desarrollando una nueva version de Galileo.

Pero si leemos un poco mas abajo, el anterior comunicado, tiene un tono alarmista que no concuerda en absoluto con el nuevo.

Lo cierto es que pienso que la persona/organización  que accedió a sus servidores, viendo que publicaron una lista con la relación de claves de acceso ips del servidor y demás, debería haber sacado muchísimo mas material, pero no la ha hecho publico. Es decir, dado que ofrecían un servicio como portal de la herramienta, deberían ademas guardar alguna información de uso especifico (aunque fueran los primeros interesados en no guardar los registros), cuya publicación habría puesto en un serio compromiso las investigaciones de mas de un cuerpo de seguridad.

Opino que el ataque tuvo unas mayores consecuencias que la publicación de esos aprox 400GB, se obtuvo mas, pero se filtro y se publico lo conveniente solo para desacreditar a la compañía.

Perdón por el tocho, un saludo.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Segun comunican en su web oficial (No tienes permitido ver los links. Registrarse o Entrar a mi cuenta), la filtracion que tuvo lugar en sus servidores  fue parcial y de contenido obsoleto. Ya han arreglado sus problemas de permeabilidad del sistema y estan reestructurando su red.
Por otro lado, estan desarrollando una nueva version de Galileo.

Pero si leemos un poco mas abajo, el anterior comunicado, tiene un tono alarmista que no concuerda en absoluto con el nuevo.

Lo cierto es que pienso que la persona/organización  que accedió a sus servidores, viendo que publicaron una lista con la relación de claves de acceso ips del servidor y demás, debería haber sacado muchísimo mas material, pero no la ha hecho publico. Es decir, dado que ofrecían un servicio como portal de la herramienta, deberían ademas guardar alguna información de uso especifico (aunque fueran los primeros interesados en no guardar los registros), cuya publicación habría puesto en un serio compromiso las investigaciones de mas de un cuerpo de seguridad.

Opino que el ataque tuvo unas mayores consecuencias que la publicación de esos aprox 400GB, se obtuvo mas, pero se filtro y se publico lo conveniente solo para desacreditar a la compañía.

Perdón por el tocho, un saludo.

Excelente punto de vista, bien analizado por tu parte, en cuanto a la información obtenida (no publicada), seguro que esta valorada en muchos ceros.

Bueno no del todo es obsoleta lo que sacaron de ahi por que el spyware esta en la jungla y ya lo han deplegado y estan empezando a sacarle mucho $$$$

de hecho puedes bajar el source de las herramientas "obsoletas" bypasear el dongle y usar totalmente la herramienta con todas sus funcionalidades

inclusive si evaluas el codigo fuente (en ruby) puedes desabilitar el kill switch.

no es del todo amarillista los ownearon bien owneados y su "etica" fue expuesta la herramienta no es lo mas avanzado pero si atemorizante

salu2