Hacking Team использовала BGP перехват для получения контроля над шпионской сетью итальянской полиции
Компания разместила C&C-серверы у провайдера Santrex, но тот спустя некоторое время отключил свои серверы из-за неполадок в сети.
Ранее в этом месяце неизвестные активисты разместили в интернете 400 ГБ данных, похищенных в результате взлома корпоративной сети компании Hacking Team, которая поставляла шпионское ПО спецслужбам различных стран. Похищенная информация включает корпоративные документы, исходные коды и даже, как стало известно, несколько эксплоитов для уязвимостей нулевого дня в Adobe Flash.
Также в архиве содержится электронная переписка, указывающая, что в 2013 году компания использовала предпочитаемые спамерами техники для «присвоения» адресного пространства, принадлежащего одному из интернет-провайдеров. Делалось это с целью восстановления контроля над шпионской сетью, предположительно организованной для общей оперативной группы итальянской полиции (Raggruppamento operativo speciale), которая была создана для борьбы с организованной преступностью, терроризмом и более сложными видами преступлений.
Как пояснил ИБ-эксперт Брайан Кребс, Hacking Team разместила C&C-серверы у хостинг-провайдера Santrex, пользовавшегося популярностью у разнообразных спамеров. Однако Santrex неожиданно отключил свои серверы в связи с внутренними неполадками в сети, из-за которых происходили постоянные сбои в ее работе. Таким образом, итальянские правоохранители потеряли контроль над своей системой наблюдения и обратились за помощью к Hacking Team.
По данным исследователей из OpenDNS Security Labs, экпертам компании удалось восстановить контроль над принадлежащим Santrex адресным пространством, используя BGP перехват (префиксный перехват или перехват маршрута) для перенаправления трафика и перемещения инфраструктуры.
Довольно часто спамеры «присваивают» адресные пространства, не используемые в течение длительного периода времени. Преступники практически во всеуслышание «объявляют» всему интернету, что данные адреса находятся во владении принадлежащего им хостинг-сервиса, и в случае отсутствия каких-либо возражений хакеры получают полный контроль над диапазоном IP-адресов.
Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!