FinFisher je software, pomocí kterého je možné zaútočit na počítače či telefony, nainstalovat do nich sledovací software a tak získat dlouhodobý přístup ke všemu, co dělá držitel zařízení. Je produktem největšího výrobce komerčního sledovacího softwaru na světě firmy Gamma International. Mezi jejich zákazníky patří vlády mnoha zemí včetně těch s totalitním režimem. A ta se minulý týden stala terčem úspěšného hackerského útoku. Hacker získal 40 GB dat. Mezi daty byl i ceník, dokumentace zda zdrojové kódy.
Tento blog se opírá oinformace zveřejněné údajným útočníkem. Přestože jde o neověřené informace postup v nich obsažený je natolik věrohodný, že by byla škoda se k němu nevyjádřit. K důvěryhodnosti informací přispívá i fakt, že se na Internetu objevilo množství dat z webu Gamma International, takže k nějakému průniku určitě došlo.
Charakter prováděných operací vyžaduje dodržování alespoň základních principů operační bezpečnosti (OPSEC). Zejména dodržovat mlčenlivost a utajení dané operace. O tomto průniku se hacker zřejmě nebude chlubit kamarádem u piva. Bylo by to příliš velké riziko. Dalším důležitým pravidlem je separace domácího a útočného prostředí, protože tyto by se neměly nikdy prolínat. Hacker vytvořil šifrovaný a skrytý oddíl disku. Na něm nainstaloval operační systém určen výhradně k realizaci útoku. Pro přístup do internetu využil cizí síťové připojení a kromě anonymizační sítě Tor využíval cizí systémy ke kterým získal přístup v předešlých průnicích.
Jako první a zcela samozřejmý krok byla identifikace všech dostupný serverů, IP adres a doménových jmen provozovaných danou společností. V tomto případě "FinFisher GmbH". Tyto informace jsou veřejné a jejich sběr vyžaduje jen čas a znalosti základních nástrojů pro práci s WHOIS a DNS. Nápomocné jsou samozřejmě i webové vyhledávače, zda dostupné komerční služby poskytující tento druh informací. Takovýmto způsobem se útočník dostal i k jeho cíli doméně gamma-international.de registrované na zmíněnou společnost, která ho následně přesměrovala na finsupport.finfisher.com
Následovalo rozpoznání a identifikace služeb provozovaných na všech nalezených serverech. Z těch se jako nejslibnější na průnik jevila právě zmiňovaná webová stránka na podporu zákazníků. Jednalo se totiž o na míru vytvořenou aplikaci, která se navenek prezentovala pouze přihlašovacím formulářem. A přestože se v ní útočníkovi nepodařilo při prvotní obhlídce identifikovat žádné zranitelnosti nevzdal se a položil si otázku, kterou si položí každý motivován útočník: Vytvořila si firma vlastní webovou aplikaci nebo si ji nechala vytvořit externí firmě? Odpověď na tuto otázku, jakož i další směřování již pravděpodobně tušíte. Šlo o aplikaci vytvořenou externí společností. A jelikož vývojářské firmy používají stejné komponenty a části kódu ve více svých aplikacích útočníkovy další kroky směřovaly právě k vyhledání jiných zákazníků stejné vývojářské společnosti kteří používali stejný protože podobný produkt. Ačkoli se to může zdát jako obtížný úkol vyžadující vysoce sofistikovaný nástroj, opak je pravdou. I v tomto případě útočník použil jeden z nejmocnějších pomocníků: internetový vyhledávač.
Vyzbrojen seznamem "pomocných" cílů a bez strachu z odhalení svého pravého cíle se pustil do identifikace zranitelností, které bude moci později použít při útoku na svůj skutečný cíl. K překvapení samotného útočníka, jakož i čtenářů jeho článku, velmi rychle odhalil několik kritických zranitelností vyplývajících z přímo až žalostného zabezpečení daných produktů. Útočník využil první nalezenou zranitelnost k získání přístupu na server a stažení zdrojového kódu aplikace, v níž následně identifikoval další zranitelnosti.
Pro čtenáře zběhlé v problematice uvedeme, že aplikace byla zranitelná na SQL injection LFI, kontrola souborů při uploadu byla prováděna pouze na straně klienta v JavaScriptu a při neautorizovaném přístupu k administračnímu rozhraní aplikace pouze v hlavičce uživatele přesměrovala na přihlašovací stránku, ale obsah zobrazila. Přímo školácké chyby.
Vyzbrojen nalezenými slabinami se následně útočník vrátil ke svému primárnímu cíli. Přestože s několika z nich neuspěl s jednou přece jen uspěl. Pomocí ní a jednoduchého skriptu kompromitoval i ostatní stránky. Stáhl zdrojový kód aplikace jakož i obsah databáze. Analýzou zdrojového kódu identifikoval další fatální slabinu. Registrovaní uživatelé mohli při otevírání požadavků na uživatelskou podporu přiložit soubor. Bohužel libovolný. Vzhledem k tomu, že útočník již vlastnil kopii databáze, mohl se přihlásit jako uživatel podpory a nahrát na server skript (php shell) pomocí kterého získal interaktivní přístup k serveru. Server dále použil následnému průniku do lokální sítě, kde identifikoval další webový server ze kterého získal verzi malwaru pro mobilní zařízení. Dílo bylo dokonáno.
Pokusy o získání administrátorského přístupu nevyšly. V dané situaci to však nebylo důležité. Všechna data, o která měl útočník zájem, byla poskytována prostřednictvím webového serveru. K dispozici je už tedy měl.
Pokud se vám tento popis průniku zdá příliš jednoduchý až absurdní, nedá se nic jiného jen souhlasit. však také na místě podotknout že právě toto je postup, jakým je většina průniků do webových aplikací realizována. A právě takovému postupu musí denně čelit společnosti či jednotlivci, kteří jsou cílem motivovaných útočníků, ať je jejich motivace jakákoliv. Podobným situacím lze přitom předejít. Odborníci mohou vaše systémy otestovat.
