Hacking Team использовала BGP перехват для получения контроля над шпионской сетью итальянской полиции

image

Теги: взлом, перехват, трафик, шпионаж, спецслужба

Компания разместила C&C-серверы у провайдера Santrex, но тот спустя некоторое время отключил свои серверы из-за неполадок в сети.

Ранее в этом месяце неизвестные активисты разместили в интернете 400 ГБ данных, похищенных в результате взлома корпоративной сети компании Hacking Team, которая поставляла шпионское ПО спецслужбам различных стран. Похищенная информация включает корпоративные документы, исходные коды и даже, как стало известно, несколько эксплоитов для уязвимостей нулевого дня в Adobe Flash.

Также в архиве содержится электронная переписка, указывающая, что в 2013 году компания использовала предпочитаемые спамерами техники для «присвоения» адресного пространства, принадлежащего одному из интернет-провайдеров. Делалось это с целью восстановления контроля над шпионской сетью, предположительно организованной для общей оперативной группы итальянской полиции (Raggruppamento operativo speciale), которая была создана для борьбы с организованной преступностью, терроризмом и более сложными видами преступлений.

Как пояснил ИБ-эксперт Брайан Кребс, Hacking Team разместила C&C-серверы у хостинг-провайдера Santrex, пользовавшегося популярностью у разнообразных спамеров. Однако Santrex неожиданно отключил свои серверы в связи с внутренними неполадками в сети, из-за которых происходили постоянные сбои в ее работе. Таким образом, итальянские правоохранители потеряли контроль над своей системой наблюдения и обратились за помощью к Hacking Team.

По данным исследователей из OpenDNS Security Labs, экпертам компании удалось восстановить контроль над принадлежащим Santrex адресным пространством, используя BGP перехват (префиксный перехват или перехват маршрута) для перенаправления трафика и перемещения инфраструктуры.

Довольно часто спамеры «присваивают» адресные пространства, не используемые в течение длительного периода времени. Преступники практически во всеуслышание «объявляют» всему интернету, что данные адреса находятся во владении принадлежащего им хостинг-сервиса, и в случае отсутствия каких-либо возражений хакеры получают полный контроль над диапазоном IP-адресов.

 

 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.