Wśród opublikowanych przez WikiLeaks materiałów z wycieku Hacking Team można odnaleźć ponad milion wiadomości pocztowych tego zespołu i około 400 GB danych. Wśród nich znaleźć można korespondencję z agentem amerykańskiego Federal Bureau of Investigation (FBI), w której zwraca się z zapytaniem, czy najnowsza wersja narzędzia Galileo RCS jest w stanie ujawnić prawdziwy adres IP użytkowników w sieci TOR. Korespondencja z agentem FBI datowana jest na wrzesień 2014 roku.
Agent zamierzał zarazić komputer docelowy złośliwym plikiem PDF lub innym dokumentem, niestety jedyne co wiedział o swoim celu to to, iż używa on narzędzia Tor Browser Bundle albo jakiegoś jego wariantu. Pracownicy Hacking Team odpisali, że po zarażeniu plikiem, system Galileo RCS nie miałby problemu z uzyskaniem prawdziwego adresu IP użytkownika sieci TOR. W tym wypadku agentowi mógł wystarczyć adres e-mail celu, na który przesłałby zainfekowany plik, gdzie po otwarciu go przez użytkownika, narzędzie RCS Scout Galileo skutecznie doprowadziłoby do ujawnienia prawdziwego adresu IP użytkownika. Nie wiadomo jak sprawa się zakończyła i czy agentowi udało się namierzyć użytkownika.
Agent zamierzał zarazić komputer docelowy złośliwym plikiem PDF lub innym dokumentem, niestety jedyne co wiedział o swoim celu to to, iż używa on narzędzia Tor Browser Bundle albo jakiegoś jego wariantu. Pracownicy Hacking Team odpisali, że po zarażeniu plikiem, system Galileo RCS nie miałby problemu z uzyskaniem prawdziwego adresu IP użytkownika sieci TOR. W tym wypadku agentowi mógł wystarczyć adres e-mail celu, na który przesłałby zainfekowany plik, gdzie po otwarciu go przez użytkownika, narzędzie RCS Scout Galileo skutecznie doprowadziłoby do ujawnienia prawdziwego adresu IP użytkownika. Nie wiadomo jak sprawa się zakończyła i czy agentowi udało się namierzyć użytkownika.
W wiadomości pomiędzy pracownikami HT datowanej na maj 2015 roku można przeczytać o spotkaniu włoskiego zespołu z FBI w Quantico i wyciągniętych wnioskach. W przeszłości FBI skupiało 20% uwagi na celach w sieci TOR, obecnie jest to około 60% - przeczytamy. FBI wyznało także, że używają Galileo do operacji niskiego poziomu, a dla krytycznych i ważniejszych działań wykorzystują inną platformę. Jaką? Nie wiadomo. FBI dotychczas wydało na narzędzie Galileo Remote Control System około 775 000 $.
Niemniej jednak, nawiązując do powyższej historii i korespondencji, na jednej z prezentacji od Hacking Team dotyczącej enigmatycznego projektu o nazwie "Project X" przedstawione zostały sposoby przechwytywania szyfrowanych połączeń SSL/TLS, a także danych użytkownika korzystającego z sieci TOR:
W jaki sposób Hacking Team przechwytuje dane z sieci TOR? Według prezentacji, poprzez niezauważalne wstrzyknięcie exploita do przeglądarki użytkownika i przy użyciu zaufanego certyfikatu CA (atak Man In The Middle), który przekierowuje, rozszyfrowuje i dekoduje ruch w sieci TOR:
Macierz wykonalności ataku na przeglądarkę według systemu operacyjnego:
W prezentacji wspomniano także o słabych stronach takich ataków oraz m.in. o tym, że rozwiązanie od włoskiego zespołu omija HTTP Strict Transport Security. Wg Hacking Team, ich rozwiązanie uniemożliwia aktywne wykrycie ataku MITM i na tą chwilę jest jedynym rozwiązaniem aby przechwycić ruch w sieci TOR. Więcej przeczytacie w poniższych prezentacjach, które udało się nam znaleźć w wycieku danych:
Prezentacja Hacking Team dotycząca ataków na SSL i TOR:
Prezentacja Hacking Team dotycząca Project X:
Analiza Tor Project odnosząca się do metod ataku na TOR z prezentacji Hacking Team:
https://blog.torproject.org/blog/preliminary-analysis-hacking-teams-slides
Źródło:
https://thehackernews.com
https://wikileaks.org
http://cryptome.org
Opracowanie własne.
Brak komentarzy:
Prześlij komentarz