KRISE: Det italienske selskapet Hacking Team blir hengt ut som løgnere, tilbydere av spionvare til undertrykkende regimer, og dødssynden for alle som jobber innen IT-sikkerhet: at de angivelig selv hadde et begredelig eller lemfeldig forhold til sikkerhet. (Foto: Skjermbilde)

Hacking Team-angrepet

Fant «en av de vakreste Flash-sårbarheter»

Nulldagshull også i Windows-kjernen funnet i lekkasjene fra Hacking Team.

Hacking Team er en beryktet italiensk leverandør av programvare for spionasje, datainnbrudd og overvåkning.

IT-selskapet med base i Milano våknet i helgen til det som bare kan betegnes som en katastrofe. Nå var de selv blitt hacket og hemmelige kundelister og avansert skadevare eksponert for hele verden.

Lekkasjene består av over 400 gigabyte med stjålne data, som løpende blir analysert av sikkerhetseksperter, journalister og andre.

Noen av funnene viser at selskapet tilsynelatende har løyet når de tidligere blankt har avvist at de selger sine kontroversielle og inngripende verktøy til undertrykkende regimer.

Hacking Teams programvare som kan infisere og fjernkontrollere ofrenes mobiltelefoner og pc-er har ifølge lekkasjene vært solgt til statlige etater i land som Etiopia, Bahrain, Egypt, Kasakhstan, Marokko, Russland, Saudi-Arabia, Sør-Sudan, Aserbajdsjan med flere, skriver Techcrunch.

Videre later det til at selskapet også har solgt til private aktører, også det noe de tidligere har benektet.

Les også: Handel i sårbarheter er big business. NSA kjøper fra Vupen

Fant nulldagssårbarheter

I pakken med stjålne data er det nå avdekket minst tre sårbarheter i programvare.

To av dem i Flash Player og én i Windows kernel. Den ene av Flash-sårbarhetene (CVE-2015-0349) er allerede tilgodesett med en feilfiks, skriver IT-sikkerhetsselskapet Trend Micro.

- En av Flash-sårbarhtene blir av Hacking Team beskrevet som «den vakreste Flash-sårbarheten de siste fire årene». Dette hullet har ennå ikke fått noe CVE-nummer, skriver de.

Adobe jobber nå med en fiks, som de håper å kunne utgi i løpet av uken, skriver nettstedet The Register. Ifølge dem berører Flash-sårbarheten plugins både til Windows, OS X og Linux.

Feilen i Windows-kjernen har heller ikke noe CVE-nummer, ifølge IT-sikkerhetsselskapet.

Denne sårbarheten, som det foreløpig ikke finnes noen fiks mot, skal foreligge i atmfd.dll, Adobes font-driver på kernel-nivå i Windows. Det er et bibliotek som følger med operativsystemet. Utnyttelse av feilen kan gi en angriper administrative rettigheter, og sårbarheten berører Windows XP til Windows 8.1 og både 32-bit og 64-bitutgavene. Trend Micro har skrevet et eget innlegg med noen flere detaljer her.

Når sårbarheter blir oppdaget og offentlig kjent blir de utstyrt med et CVE-nummer(Common Vulnerabilities and Exposures). I dette tilfellet er det oppdaget en to tidligere ukjente kritiske sårbarheter, såkalter nulldagssårbarheter.

Ifølge lekkasjen kan den andre utnyttes ved å angripe Adobe Flash Player 9 og nyere, og både desktop/metro-grensesnittet for nettleserne Internet Explorer, Chrome, Firefox og Safari skal være berørt.

Trend Micros skriver at andre eksterne rapporter har avdekket også selv nyeste Adobe Flash, versjon 18.0.0.194, er sårbar.

Les denne: IE-hull holdt hemmelig i tre år

Påtar seg ansvar

En hacker med pseudonymet «Phineas Fisher» tok i går på seg ansvaret for helgens oppsiktsvekkende datainnbrudd og plyndring av Hacking Team. Dette skjedde først i et intervju med nettstedet Motherboard, deretter på Twitter.

Dette er samme person, eller gruppering, som i fjor hacket tysk-britiske Gamma Group, utvikler av spionvaren FinFisher. Pseudonymet til vedkommende er åpenbart utledet av sistnevnte produkt, og hackerens twitterkonto bærer det ironiske navnet GammaGroupPR.

Angrepene mot Gamma Group og Hacker Team har mange felles trekk. De er begge utført mot tilbydere av spionvare, som er beskyldt for kontroversiell handel med undertrykkende regimer. Ved begge tilfellene har store mengder data som avslører kunderlister blitt lekket.

«Phineas Fisher» skriver i sin hittil siste twittermelding at han vil redegjøre for hvordan angrepet mot Hacking Team ble gjennomført, «once they've had some time to fail at figuring out what happened and go out of business».

Les også: Nå kan du selv sjekke etter spionvare.

Det hardt rammede Hacking Team skal nå ha bedt kundene sine om å deaktivere programvaren. Det skriver nettstedet Motherboard.

Omfanget av stjålne data kan være langt større enn de 400 gigabyte som hittil er offentliggjort. Hackerne later til å ha stukket av med «alt» de hadde, hevder en av deres kilder. Sikkerheten hos Hacking Team blir betegnet som begredelig, med angivelig ukrypterte passord og kundelister.

Til toppen