Hacking Team wird zu Hacked Team: 400 GB interne Daten von Überwachungssoftware-Hersteller veröffentlicht

you-just-got-owned

Der italienische Hersteller von Überwachungstechnik Hacking Team wurde – nach der Veröffentlichung von Handbüchern des Staatstrojaners RCS im Oktober 2014 – erneut gehackt. Ein Torrent mit 400 GByte Daten (hier mal das torrent-File gemirrort) wurde hochgeladen und der Webserver, sowie Hacking Teams Twitter-Account, dessen angezeigter Name in „Hacked Team“ geändert wurde [um etwa 12:00 Uhr am 6. Juli wurde der offizielle Account wiederhergestellt], wurden fremdkontrolliert. Auf Twitter verkünden die erfolgreichen Angreifer:

Since we have nothing to hide, we’re publishing all our e-mails, files, and source code.

Die veröffentlichten Daten umfassen auch Rechnungen an Kunden, die in autoritären Staaten angesiedelt sind, und das obwohl solcherlei Geschäftsbeziehungen in der Branche großflächig geleugnet werden. Dabei sind auch, ohne die Veröffentlichungen, die Hinweise zahlreich. Beispielsweise wurden äthiopische Journalisten in den USA durch einen Trojaner von Hacking Team ausgespäht. Von dort befindet sich in dem Archiv eine unzweideutige Dankesmail dafür, dass man „oppositionelle Ziele schnell identifizieren“ konnte. Unter anderen Staaten mit fragwürdiger demokratischer Ausrichtung und Stabilität, die Kunden bei Hacking Team sind, befinden sich auch Ägypten, Saudi Arabien, Libanon, und Sudan.

Die veröffentlichten Rechnungen belaufen sich auf einen Gesamtwert von über 4 Mio. Euro. Außerdem befinden sich interessanterweise auch Passwörter in den Dokumenten, unter denen auch klassische, triviale Nicht-Passwörter wie Leetspeak-Varianten von „password“ vertreten sind.

Ein Vertreter von Hacking Team versucht die Vorwürfe abzuwiegeln und die Hacker zu diskreditieren:

Don’t believe everything you see. Most of what the attackers are claiming is simply not true…The attackers are spreading a lot of lies about our company that is simply not true. The torrent contains a virus [falsch.] …

Was sich noch alles in den Dateien befindet, wird sich in den nächsten Tagen offenbaren, wenn mehrere Augen die Gelegenheit haben, sich die ungeheuren Datenmengen anzusehen.

70 Ergänzungen

  1. Und wie kann man den Torrent runterladen? Mit 23MB Größe kann den keiner mir bekannten Clients öffnen (nicht einmal mit einer Seedbox ruTorrent)?!

  2. lol, ist das eine irrationale unüberlegte Reaktion ? Oder meinen die tatsächlich so ?
    Jedenfalls sieht das von Außen ausgesprochen dümmlich aus.

    „Don’t believe everything you see. Most of what the attackers are claiming is simpl
    y not true…The attackers are spreading a lot of lies about our company that is simply not true. The torrent contains a virus“

  3. @Max Mustermann: Zumindest Transmission akzeptiert den Torrent klaglos, andere Clients habe ich bisher nicht getestet

    1. Transmission habe ihc versucht (Windows) sagt mir das der Torrent fehlerhaft (corrupt) wäre. Ich habe den Torrent sowohl von hier als auch von Heise als auch von dem Mega Link. Alle wären angeblihc corrupt. Finde ich merkwürdig. Ich versteh auch nicht wieso der Torrent 26mb groß sein soll, denn ich lade Torrents die teilweise 700gb Daten umfassen und die sind gerade einmal 100-300kb groß.

      Sieht für mich nach einem Fake aus. Überall Berichte aber kein funktionierender Download, dafür eine 26mb große Torrentdatei die sich in keinem Client (ruTorrent, uTorrent, qbitTorrent, G3Torrent, Halite) öffnen lässt.

      1. Okay ich habe nun auf meiner Seedbox das Transmission Addon installiert. Damit lässt sich der Torrent problemlos hinzufügen und starten. Scheint wohl ein Windows/ruTorrent Problem zu sein. Aber es ist echt merkwürdig das die Torrentdatei so groß ist….

  4. >The torrent contains a virus [falsch.]
    Ja, aber wenn doch der Source Code für deren Schadsoftware da drin steckt, dann stimmt die Aussage doch irgendwo.

  5. > The attackers are spreading a lot of lies about our company that is simply not true.

    Kurz bevor der Mann seinen twitter Account gegrillt hat, hab ich noch einen Screenshot gemacht, der belegt, dass das keine Lüge ist, sondern dass die Passworte die tatsächlichen waren:

    https://twitter.com/sleeksorrow/status/618001842933510144

    Wenn für Pozzi die Liste ein Beweisstück ist, mit dem er meint, jemanden ins Gefängnis bringen zu können, dann kann die geleakte Info nicht falsch sein.

  6. „Wenn ihr nichts zu verbergen habt, dann klärt doch auf!“ Gut, dass wieder einmal bewiesen ist, dass solche Firmen sich von Menschenrechtsverletzern,Radikalen, Extremisten und Terroristen bezahlen lassen und ihnen Technik liefern. im twitter account geben sie sich ganz unschuldig und folgen nur Behörden oder der UN. Wobei davon einige sowieso kriminell, da u.a. freiheitsberaubend sind.

  7. Da könnte ich für ein bisschen Amüsement folgendes anbieten:
    Rebellen im Internet – Die Anonymous Story
    unter
    https://vimeo.com/132074368

    Der Film führt in die Welt sogenannter „Hacktivisten“, die kollektiven zivilen Ungehorsam für das digitale Zeitalter neu definiert hat. Anfangs als Spaßbewegung aus der Website „4chan“ hervorgegangen, tritt „Anonymous“ inzwischen politisch mit Protestaktionen für Redefreiheit, die Unabhängigkeit des Internets und gegen das Urheberrecht in Erscheinung. Neben verschiedensten Behörden und Konzernen, wendet sich „Anonymous“ auch gegen Organisationen wie „Scientology“ und andere …

  8. Auf Twitter kursieren Screenshots aus einem internen Wiki, wo u.A. Deutschland als Kunde auftaucht. Mich würde ja interessieren, wer da genau Kunde war. Dann könnte man evtl. mal eine freundliche Anfrage nach dem IfG stellen :)

    1. Damn, vorhin noch online – jetzt 404. Irgendwo Kopien? Mit meiner FHain-Nordkiez-DSL-Leitung dauern 400GB auch 2015 noch Jahre.

      1. unglaublich wie kaputt und am ende diese beschissene weltbervoelkerung ist. ich will nicht verallgemeinernd sein aber das ausmass dieses wahnwitz wird mal wieder ein stueck klarer wenn man sich vor augen fuehrt, wieviele kommerzielle anstalten auf stasi-methoden zurueckgreifen, um macht ausueben zu koennen, sei es durch manipulation oder durch unrechtmaessigen erwerb von informationen. also was soll dieses hacking team gebashe? nicht, dass ich deren vorgehen und angebote befuerworte, im gegenteil, aber sie decken auch nur eine nicht gerade gering ausfallende nachfrage ab. ich koennte permanent kotzen ueber dieses verf*ckt scheinheilige getue, ueber vorgehaltene moral und das hinter den kulissen zweigespaltene agieren. sei es in der wirtschaft oder in der politik. kein miteinander mehr, es geht ausschliesslich um geld und macht. schnell noch alles mitnehmen, bevor die konkurrenz schneller ist, bevor einem der terrorist an der naechsten ecke mit panzerfaust und turban bewaffnet auflauert oder der chef mit der kuendigung am start ist. global kaputt. ich wuensche uns allen das, was wir verdient haben.

      2. Eine weitere Adresse:
        marc.neubert@bka.bund.de

        Und die Delegation, welche sich mit Hacking Team getroffen hat:
        Dr. Sabine Vogt (head of delegation, present only on January 19th) Helmut
        Ujen Dr. Thomas Mentzel Boris Schäfer (technical expert) Markus Diett
        (technical expert) Michael Karcher (technical expert) Alessandra
        Zanfi-Wetter (translator)

        Über folgende Themen wollte das BKA sich unterhalten:
        – software functionality and features
        – software architecture: complete functionality vs. modularized software
        – limitation on interception of telecommunications data
        ­- target system intrusion / modifications and effects on target system
        – options for individualization of software compilations
        – options for deleting the software from target system
        – access roles and rights / user and group privileges
        – issues of data protection, especially core area data protection
        – non-traceability (from software on target system to authority/customer)
        – logging and logfile issues
        – update functionality and options
        – encryption features
        – protection against misuse (especially by third parties)
        – options for exporting captured data via interface
        – options for source code reviews (by authority/customer, by a neutral
        entity etc.)
        – license model / cost model

        Quelle:
        https://wikileaks.org/hackingteam/emails/emailid/598203

        Ich möchte an der Stelle folgende Punkte nochmal betonen:
        „modifications and effects on target system“
        „options for deleting the software from target system“
        Es geht denen also nicht nur um das Absaugen von Daten, sondern auch um das Modifizieren!

      3. @dot tilde dot

        ich bin fassungslos…
        bin gespannt wann es die gleichschaltungszentrale aufschnappt und wie es weitergeht… meine fresse…

    1. Wenn deine IP keine Deutsche ist, wird sich der BKA-Büttel auch nicht für dich interessieren. Oder vielleicht wird er sich schon interessieren, nur kann er dann nur dicke Backen machen. Aber wenn du schon diese Frage stellst, ist es vermutlich besser du lässt es einfach bleiben. Die Informationen gelangen auch ohne den Besitz der Dateien zu dir u.a. durch Netzpolitik oder andere Medien.

  9. Screenshots Hacking Team promotion video from 2011:

    “The war of the future will not be played on the field. Terrorists organize themselves throught the cyberspace. Entire states can fail if their communication system are violated. In such szenario the principal weapon is intelligence. Defence against such attack is crucial but offensive capabilities are required too. Information gathering is the key to succeed. Enter Remote Control System. A stealt system for attacking, infecting and monitoring computers and smartphones. Full intelligence on targeted users even for encrypted communications (Skype,PGP,Secure Web Mail,etc.)”

    https://machtelite.wordpress.com/2015/07/06/hacking-team-the-war-of-the-future-promotion-video-2011/

  10. Wie es scheint habe die „Offensive Sicherheitstechnik“ in die Türkei, Egypten und auch Mexiko geliefert.

  11. Welcher Praktikant bei denen wohl die detection tests gegen X AV Systeme durchführt? Das muss ja nen echt beschissener Job sein ^^ :D

  12. Nur mal so. In dem Leak war ein Flash 0day.. habe ihn gerade im letzten Chrome Dev und Firefox Nightly probiert. Funktioniert in beiden! Ich würde Flash JETZT abschalten wenn ich das nicht schon ausgeschaltet hätte!
    Ich denke man kann davon ausgehen, dass das maximal ausgenutzt wird die nächsten Tage bevor es updates gibt.

    Hier das Readme:

    1. BACKGROUND
    http://en.wikipedia.org/wiki/Adobe_Flash_Player

    Congrats! You are reading about the most beautiful Flash bug for the last four
    years since CVE-2010-2161.

    2. DESCRIPTION

    The use-after-free vulnerability exists inside the built-in ByteArray class
    http://help.adobe.com/en_US/FlashPlatform/reference/actionscript/3/flash/utils/ByteArray.html

    Let’s create a simple ByteArray object:

    var ba:ByteArray = new ByteArray();
    ba.length = 8;
    ba[1] = 1;

    Now we can access ba[] items and write numeric byte values into ba[].
    Also we are allowed to write objects into ByteArray. For example:

    var obj = new MyClass();
    ba[0] = obj;

    AS3 will try to implicitly convert the MyClass object into numeric value by
    calling the MyClass.valueOf() method. This method can be easily redefined
    within the user’s code:

    class MyClass
    {
    prototype.valueOf = function()
    {
    ba.length = 88; // reallocate ba[] storage
    return 0; // return byte for ba[offset]
    }
    }

    Let’s see how that implicit conversion occurs inside the native code:

    push esi
    mov eax, [esp+8] // the offset value from „ba[offset] = obj“
    push eax
    add ecx, 0x18 // ecx = this = „ba“ object pointer
    call ByteArray.getStorage() // gets ba[offset] storage pointer and
    mov esi, eax // saves it in esi

    mov ecx, [esp+0xC] // „obj“ pointer
    push ecx
    call AvmCore.toInteger() // call MyClass.valueOf()
    add esp,4
    mov [esi], al // writes returned byte into array

    pop esi
    ret 8

    On high-level language this will look like:

    void ByteArray.setObjInternal(int offset, obj)
    {
    byte* dest = this.getStorage(offset);
    dest* = toInteger(obj);
    }

    So the array storage pointer is saved in local variable, then AS3 valueOf() is
    invoked from the native code and returned byte is written into destination
    pointer at the end. If valueOf() changes the length of byte array (see above)
    and reallocates its internal storage, then local destination pointer becomes
    obsolete and further usage of that pointer can lead to UaF memory corruption.

    Using this vulnerability, it’s very easy to control what byte will be written
    and at which offset this corruption will occur.

    3. AFFECTED SOFTWARE
    Adobe Flash Player 9 and higher

    4. TESTING
    Open the test „calc.htm“ file in your browser and press the button.

    on Windows:
    Calc.exe should be popped on desktop IE.
    Calc.exe should be run as a non-GUI child process in metro IE.
    Payload returns 0 from CreateProcessA(„calc.exe“) inside Chrome/FF sandbox.

    on OS X:
    Calculator is launched in FF or standalone Flash Player projector.
    Payload returns 1 from vfork() in Safari sandbox.

  13. Man solllte immer ein paar aktuelle Kinofilme auf den eigenen Servern liegen haben. Dann kann man bei einem solchen Datendump auf die Unterstützung der Urheberrechtslobby zurückgreifen.

    1. Also wenn man sich den Emule Rummel von dem Pozzi so anguckt, dann muss man sagen Filme hat er durchaus genug auf der Platte.

      1. Also Hacking&Copying Team. :D Gibt es eine Liste bei pastebin oder so, was alles getauscht wurde?

  14. Does any one reach to anything . I can not download the file on windows there is aproblem . If any one downloaded it can he tell us what is the content and how to download it . Looking to your replay .

  15. Wer Probleme mit dem Torrent unter Windows hat, soll zu den Programm „Tixati“ greifen.

      1. Ich hab erst mal alles deselektiert und browse gerade durch die interessanten Verzeichnisse, und da sind einige dabei.

  16. Hacking Tema bezieht Finfisher Daten über Netzpolitik.org
    Mail:
    Hi all,
    FF has been hacked.
    A lot of documents including, code, customers name and list price have been published.
    Pay attention using it.
    Marco
    https://netzpolitik.org/2014/gamma-finfisher-hacked-40-gb-of-internal-documents-and-source-code-of-government-malware-published/

    Marco Bettini
    Sales Manager
    Sent from my mobile.

    und

    If you download one torrent today, let is be this one
    https://netzpolitik.org/wp-upload/finfisher.torrent
    #Expose
    #FinFisher
    //
    https://wikileaks.org/hackingteam/emails/?q=netzpolitik&mfrom=&mto=&title=&notitle=&date=&nofrom=&noto=&count=50&sort=0#searchresult

    1. Danke, haben uns die Daten wieder zurückgeholt.
      Sales Manager Gamma International

  17. Jede Antivirus Software wird endgültig zum schlechten Scherz :
    Wikileaks -> Hacking Team -> email Suche -> Stichwörter: UEFI resistant infection

    Motherboards ohne UEFIBIOS Schreibschutzschalter sind Alternativlos………..

  18. lea-consult.de (== intech-solutions.de ? „staatstrojaner“ ->

    https://wikileaks.org/hackingteam/emails/emailid/590279 – sehr reger email verkehr mit hacking team. im auftrag welcher deutschen behörden die wohl so handeln?)

    Ist folgende mail ein Beweis dafür, dass Hersteller von Antivirus Software Backdoors signieren??? Grossartig! Gleich mal meine Avira AntiVir Lizenz verlängern! ;)

    https://wikileaks.org/hackingteam/emails/emailid/565515

    lässt einen das viele geld und/oder materieller besitz gut schlafen? oder was genau ist da kaputt?

    und weitere .de mail adressen aus dem archiv:

    mh-service.de
    tutanota.de
    medav.de
    gds-at.de (im april 2015 steigt die anzahl potentieller kunden in Griechenland https://wikileaks.org/hackingteam/emails/emailid/440541 – warum nur??)
    mlaboratories.de
    intech-solutions.de
    behoerdenspiegel.de / behoerden-spiegel.de
    verfassungsschutz.hamburg.de
    bka.bund.de (auch an vulns in TVs interessiert? interessant! https://wikileaks.org/hackingteam/emails/emailid/152301)
    vodafone.de (mitarbeiter abonniert mailing liste https://wikileaks.org/hackingteam/emails/emailid/157901)
    sicsec.de
    big4li.de
    polizei.bayern.de
    bescha.bund.de
    mpgbonn.de
    sernia-gmbh.de
    polizei.hessen.de
    2beuropa.de
    bundpol.de
    webbite.de
    ultimaco.de
    gamma-international.de
    luerssen.de
    alonma.de

    1. un-fucking-fassbar. ich habe gerade eine weitere datei gescannt auf virustotal.com

      detection rate 2/55 – aufgrund generischer erkennung. diese datei wurde laut compilation timestamp 2008 erstellt…

      im übrigen wurden beide dateien (also auch die aus meinem vorigen post) das erste mal auf virustotal.com gescannt, dh sie waren bisher unbekannt.

      puh…

    2. habe gerade eine malware im mail-archiv in binärform (aber auch mit quellcode) gefunden, von der ich nach einem kurzen, ersten blick vermute, dass sie für die infektion von ausführbaren dateien während des downloads gedacht ist, also z.B. auf ISP ebene. darauf deutet der quellcode hin, der mitunter mit einem disassembler für die x86er architektur daherkommt. mit in selbigem archiv befinden sich bereits infizierte testdateien (ebenfalls von 2008), von welcher ich soeben eine per virustotal.com gescannt habe. diesmal sieht die erkennungsrate besser aus – 10/55. die quote ist aber im gesamten immernoch hundsmiserabel, wenn man bedenkt, dass diese art von malware von 2008 stammt und ein paar der „grossen“ AV firmen hier meinen, sich false negatives leisten zu dürfen.

      ps: sorry fürs spammen (und sorry falls diese infos ohnehin schon bekannt sein sollten).

      1. Nur zu, wir freuen uns ja, wenn unsere Leserinnen und Leser ihre Rechercheergebnisse hier posten. Wir hätten ja auch gerne mehr Zeit, die Datenberge zu durchforsten.

    3. vorsicht, manche archive enthalten ausführbare schadsoftware:

      proxydrop („ISP malware“?) https://wikileaks.org/hackingteam/emails/?file=proxydrop#searchresult
      Android webkit exploit (exploit server + diverse stages, die APKs installieren und weitere exploits für lokale privilegienerweiterung) https://wikileaks.org/hackingteam/emails/emailid/224773
      methoden, um android analyse-umgebungen festzustellen (anti-emulation) https://wikileaks.org/hackingteam/emails/emailid/223821

      ausserdem im mail-archiv: exploit frameworks, analyse-tools etc. (werden fröhlich unverschlüsselt per mail durch die gegend geschickt…)

      so, gute nacht.

      1. Da du scheinbar die Daten bereits runtergeladen hast, könntest du mir einen Gefallen tun und den Inhalt des questionario.pdf posten? Ich vermute da stehen interessante Fragen des BKA drin.
        https://wikileaks.org/hackingteam/emails/emailid/571218
        Wikileaks gibt die Dateianhänge leider nicht richtig wieder und bei mir dauert der Download leider noch mehrere Tage.

      2. das archiv der daten habe ich nicht heruntergeladen, aber mit der darstellung oder dem herunterladen der email attachments von wikileaks habe ich keine probleme. evtl „speichern unter“ probieren? apropos: der inhalt der beiden pdfs ist in italienischer sprache verfasst

      3. Schade. Dennoch Danke.
        Am Italienisch solls nicht scheitern. Das Problem ist, dass (zumindest bei mir) letteradiaccompagnamento.pdf und questionario.pdf identisch sind. Ich vermute daher ein Problem bei Wikileaks.

      4. also den inhalt kann ich hier leider nicht posten, sonst klingelt eventuell auch bei mir eine geistig verwirrte behoerde an ;)

        aber was fuer ein zufall! auf den servern unserer amerikanischen freunde findet sich folgendes!

        http://pastebin.com/kNjv6zwC

      5. @Passwortsalz der eigentliche fragenkatalog scheint nicht dabei zu sein. noch ein kleiner hinweis: der von mir oben gepostete direktlink zur suche nach mail attachments scheint so nicht zu funktionieren. man muss auf „search for attached filename“ clicken und dort einen entsprechenden suchbegriff eingeben – in den suchergebnissen sollten dann die anhaenge korrekt dargestellt werden bzw. zugaenglich sein.

        beste gruesse

      6. Vielen Dank.
        Mal schauen ob ich den eigentlichen Fragenkatalog irgendwo im Torrent auftreiben kann. Sobald der Download in einer Woche oder zwei fertig ist melde ich mich.

      7. danke, aber ich gehe ohnehin nicht davon aus, dass der informationsgehalt auf technischer ebene all zu interessant ist (fuer rueckschluesse auf das skillset allemal, aber dazu reicht mir auch schon die aussage, dass ein verzicht auf kooperation mit amerikanischen geheimdiensten undenkbar sei). wenn das bka aber unvorsichtig war, dann duerfte der inhalt juristisch interessant sein – wobei auch dann nichts passieren wuerde, denn der fisch stinkt vom kopf her. und zwar enorm.

        noch bin ich mir nicht sicher, welche absicht hinter der anfrage des bka ich fuer wahrscheinlicher halte: tatsaechliches interesse am erwerb von lizensen oder purer informationsgewinn aufgrund mangelnder eigener expertise auf diesem gebiet (waere m.E. nicht die erste deutsche behoerde, die dies tut). nichtsdestotrotz: dass sich im emailhaufen bisher kein auftrag auffinden liess, muss ja nichts heissen. denn dafuer gibt es ja die deutschen mittelmaenner und scheinfirmen aus der wirtschaft.

    4. was hat es mit dem hackingteam-kunden tutanota als dienstleister für „sichere“ emails nun auf sich? hat deren talk auf dem ccc camp 2015 stattgefunden?

      1. Es ist durch nichts belegt und auch nicht sehr wahrscheinlich, dass die Firma hinter Tutanota (Tutao GmbH) Kunden bei Hacking Team waren oder auch nur Mail-Kontakt hatten. Die Tatsache, dass sich mehrere E-Mail-Adressen in den Daten finden lassen, sagt doch nur, dass Benutzer von Tutanota Kunden gewesen sein könnten. Die Mailadressen der Firma hinter Tutanota sind der Form foo@tutao.de und tauchen in den Hacking-Team-Daten nicht auf.

        Die Bezeichnung „Hacking-Team-Kunde“ für die Firma ist eine Unterstellung und zeugt auch nicht eben von viel Verständnis für die Ergebnisse der Suche bei Wikileaks.

        Was einen Vortrag auf dem Camp angeht, gab es keine Einreichung für das Programm. Kann aber sein, dass es Workshops oder was Selbstorganisiertes gab. Genau nichts spräche dagegen.

      2. @Constanze danke für deine antwort. natürlich habe ich den kontext missverstanden und möchte mich hiermit für die unbeabsichtigte unterstellung entschuldigen.

  19. der verwendungszweck von exploit frameworks ist ja ein zweischneidiges schwert. aber wer derart unsichere passworte verwendet, derart übelst geowned wird und sowohl intern als auch mit seinen kunden nicht by default per pgp kommuniziert, dem nehme ich nicht ab, dass er französische und amerikanische lizensen von exploit frameworks erwirbt und diese zur absicherung der eigenen it infrakstruktur verwendet. da braucht man sich dann auch über diverse formulierungen der verängstigten, fachfremden autoren des wassenaar abkommens nicht mehr zu wundern..

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.