Взлом Hacking Team: белорусские связи итальянских хакеров

В начале июля мировые информационные ресурсы запестрили сообщениями о скандале вокруг миланской компании Hacking Team, занимающейся разработкой и продажей шпионского программного обеспечения для правительственных организаций по всему миру.

Неизвестные злоумышленники взломали её серверы, выложив в открытый доступ 400 гигабайтов писем, документов и исходного кода. «Салідарнасць» пересмотрела обнародованные архивы на предмет связей Hackng Team с Беларусью и нашла ряд любопытных фактов.

Hacking Team и её суперпродукт

Основанная в 2003 году Hacking Team с офисом в полсотни человек базируется в Милане и специализируется на создании программ для взлома компьютеров и смартфонов (Android, BlackBerry, Windows Phone) с последующим наблюдением за жертвой. При этом итальянская команда использует хакерские методы — уязвимости «нулевого дня», вирусы, известные бреши и приемы по проникновению на машины.

Самый известный продукт Hacking Team — «Система удалённого контроля» (Remote Control System, также упоминается под кодовыми названиями Galileo и DaVinci). В июне 2014 года «Лаборатория Касперского» и компания Citizen Lab независимо друг от друга опубликовали отчёты по деятельности Hacking Team, рассказав подробности её инструмента RCS. Это своего рода троян, который внедряется в компьютер «жертвы» и транслирует всю информацию «хозяину». RCS перехватывает данные любого типа ещё до их зашифровки: текст, изображения, электронные таблицы, разговоры по Skype, электронные письма, чат-сообщения. При этом отследить, куда и кому пересылаются похищенные данные невозможно.

Клиенты

Сама компания описывает RCS как решение проблемы шифрования, из-за которого правоохранительные органы не имеют возможности наблюдать за преступниками, угрожающими обществу.

Hacking Team открыто заявляла, что продаёт свои продукты только государственным структурам, заверяя при этом, что не сотрудничает с правительствами стран, на которых наложены санкции со стороны США, ЕС, ООН, НАТО и АСЕАН.

Однако опубликованная в результате хакерской атаки электронная переписка, счета-фактуры и списки клиентов итальянской ИТ-компани утверждают об обратном. Так, среди клиентов итальянцев значатся спецслужбы Судана, находящегося под жёсткими санкциями ООН с 2005 года.

Среди её основных клиентов, суммы контрактов с которыми достигают миллионов долларов, — правительственные организации Мексики, Италии, Марокко, Саудовской Аравии, Чили, Венгрии, США, Казахстана, Судана, Узбекистана и других стран. Отмечается, что среди заказчиков шпионского оборудования были как страны с сомнительной репутацией на международной арене, так и госорганы вполне себе демократических государств (США, Люксембург, Южная Корея, Польша, Швейцария).

В ряде развитых стран технические решения Hacking Team были вне закона, потому у компании были проблемы с поставкой оборудования в Великобританию, а спецслужбы США использовали его почти исключительно за границей.

Международная правозащитная организация «Репортеры без границ» давно занесла Hacking Team в список врагов интернета за общую беспринципность и использование хакерской программы Da Vinci.

Взлом

Сообщая подробности взлома, издание Motherboard со ссылкой на осведомлённый источник рассказало, что хакеры забрали с серверов Hacking Team «вообще всё». В общей сложности утекло порядка терабайта данных. Доступ к серверам удалось получить, взломав личные ПК двух сисадминов Hacking Team — Кристиана Поцци и Мауро Ромео.

Меры безопасности в компании были хуже некуда: файлы никак не шифровались, в хакерском торренте открыто лежала весьма и весьма чувствительная информация вроде списка текущих и бывших клиентов или инвойсов за оказанные хакерские услуги.

Белорусские контакты Hacking Team

Мы изучили выложенную в открытый доступ электронную переписку членов Hacking Team на предмет связей с Беларусью, и вот что нашли.

ОАЦ и МВД

Если верить опубликованному отчёту Hacking Team, в октябре 2014 года, итальянская компания презентовала свой продукт Galileo (DaVinci) представителям Оперативно-аналитического центра при президенте Беларуси на выставке вооружений Milipol-2014 в Дохе (Катар). В качестве клиента указан человек по имени Alyaksey Tsymbalay.

«Очень заинтересовались. Задавали много вопросов», — говорилось в отчёте.

«Потенциальный клиент подтверждает заинтересованность в нашем решении» и «после оценки готов обсудить дальнейшее сотрудничество с отделом продаж», — это выдержка уже из второго отчёта. 

В то же время в переписке Hacking Team сообщается о встречах в рамках Milipol-2014 с «полицией Нидерландов и МВД Беларуси». «В ходе Milipol-2014» мы приобрели ещё один контакт с правительством Беларуси — Mr. Tsimur Luksha», — написал сотрудник компании Марко Беттини, указав электронный адрес Отдела международного сотрудничества МВД Беларуси (ums@mia.by).

В ноябре 2014 менеджер по работе с клиентами Hacking Team Массимилиано Луппи написал емэйл на имя Mr. Tsymbalay, в котором ещё раз поблагодарил его за посещение стенда на катарской выставке и по причине «заинтересованности» белорусской стороны предоставил «некоторую информацию» о последней версии Galileo.  

«Galileo предназначена для скрытых атак, заражения и наблюдения за целевыми ПК и смартфонами. Система позволяет тайно собирать данные из самых распространенных десктопных операционных систем: Windows, OS X и Linux. Кроме того, система дистанционного управления может мониторить все современные смартфоны: на Android, iOS, Blackberry и Windows Phone. После инфицирования цели вы можете получить доступ ко всей информации, включая звонки Skype, Facebook, Twitter, WhatsApp, Line, Viber, местоположению устройства, файлам, скриншотам, микрофону и др.», — писал Луппи. 

Из документов и переписки не понятно, закончились ли контакты белорусской стороны и итальянских хакеров заключением договора. Однако в списке клиентов Hacking Team белорусские спецслужбы отсутствуют.

В Беларусь — через Украину и Германию

Тема белорусского заказчика всплывает в переписке Hacking Team ещё несколько раз. Снова, если верить «слитым» документам, итальянская компания работала на белорусском направлении уже несколько лет. 

Ещё в марте 2011 года представитель украинского разработчика систем безопасности компании ALTRON, фигурировавшего в списке Wikileaks среди компаний, которые продают госслужбам технологии слежения за гражданами, сообщал в письме сотруднику Hacking Team о встрече в их харьковском офисе с представителями белорусской милиции.

«И они очень заинтересованы в решении с возможностями и особенностями, которыми обладает ваша система удалённого контроля. Им настолько нужно такое решение, что, по их словам, они уже готовы платить», — утверждал представитель харьковской компании Виталий Киктёв. 

Спустя пять месяцев переписка между ALTRON и Hacking Team продолжается. Упомянутый выше Киктёв в письме Марко Беттини, с которым он встречался незадолго до того на конференции в столице Бразилии, сообщает, что их клиент из Беларуси просит предоставить коммерческое предложение: «Им нужно знать спецификации для системы (количество лицензий (что даёт лицензия?), список ПО, которое поставляется с системой, цены на систему и компоненты».

В ответ Беттини поясняет: «Лицензия на 10 одновременных целей с поддержкой всех платформ — примерно  370 тысяч евро. Она включает в себя: 5 пользователей, 2 анонимайзера, инъекционный прокси(беспроводной / LAN), RMI (для мобильных), 1 год обслуживания (обновление и поддержка), установка и обучение (5 дней). Если вы хотите добавить 50 целей, цена вырастет на 120 тысяч евро. Цена не включает в себя оборудование и предназначена для ALTRON. Вы должны самостоятельно добавить наценку».

Спустя ещё три месяца Беттини со ссылкой на «украинского партнёра» просит коллег из отдела доставки подготовить демо-набор для неназванного «клиента, который уже видел наше демо и хотел бы протестировать продукт перед покупкой» за один день. При этом он поясняет, что «мы уже делали то же самое для другого его [украинского партнёра] клиента из Беларуси.

Летом 2011 менеджер по работе с клиентами Hacking Team Мустафа Маанна отвечает представителю немецкой компании Intech Solutions (фигурирует в «слитых» документах как посредник при поставках разведывательного оборудования Hacking Team третьим лицам) о «новых возможностях в Азербайджане и Беларуси»: «Я могу дать вам зелёный свет в отношении Азербайджана. Что касается Беларуси, мне нужно знать название агентства, поскольку мы уже контактируем с некоторыми из них». 

Поиск клиентов на выставках вооружений

Судя по корреспонденции, Hacking Team является завсегдатаями международных выставок оборонной индустрии, где находит новых клиентов. Так, помимо катарской Milipol 2014, в переписке фигурирует приглашение компании на ADEX 2014 в Азербайджане и филиппинской ADAS, среди участников которых также значатся белорусские представители. 

Минская команда .NET-разработчиков для Hacking Team

Однако не только Hacking Team предлагала свои услуги белорусской стороне. В переписке компании отыскалось и письмо управляющего директора британского подразделения ИТ-компании Ciklum, предлагающего итальянцам «сложившуюся команду сильных .NET, C#, Frontend-инженеров», базирующуюся в Минске и «готовую начать работу через неделю».