Хакер рассказал о взломе производителя ПО для подводной охраны резиденций президента



« Назад

30.12.2015 05:29

Пользователь «Хабрахабра» под ником densneg заявил, что получил доступ к исходному коду ПО и предположительно секретным данным благодаря взлому производителя программного обеспечения для системы подводной охраны различных акваторий, в том числе использующейся на правительственных объектах. Об этом он рассказал в блоге на «Хабрахабре».

История взлома описывается от лица неназванного хакера, которого densneg называет просто Васей. По словам автора, заказ на коммерческий взлом поступил от «старого знакомого», который хотел получить информацию о чужих разработках — предположительно, незаконно.

Объектом исследования была петербургская фирма-производитель ПО. Для взлома её систем помощник хакера провёл «исследование» в поле, просканировав Wi-Fi-трафик фирмы и собрав данные, необходимые для проникновения на сервер компании.

В результате этих исследований были добыты секретные слова к почте, далее из переписки выянилось, что для хранения арендован дедик (выделенный сервер — прим. TJ), который стоял на территории подопытного. Сервер иногда удалённо админился извне, на нем крутится старая убунта 12.04 LTS версии (это к вопросу об экономии на оборудовании и персонале).

Просканировали на наличие уязвимостей, доступ по SSH настроен только на конкретные IP (достаточно грамотно), открыты с десяток портов, в том числе 21(FTP), 39, 41 и 95, нашлось несколько дырок, сервер сдался на уязвимости CVE-2014-0196, через неё подняли рута с третьей попытки, два раза сервак падал, но никто даже не шевельнулся, чтобы узнать, в чём дело. Искали всё, что было похоже на исходники, документацию и так далее. Зашли, осмотрелись, собрали урожай, почистили, проверили, ещё раз почистили, ушли.

densneg

В обнаруженных на сервере данных было около 70 гигабайт различной информации, включая фото и тексты, однако разобраться в их принадлежности у хакера не получилось. Исходные файлы ПО были датированы 2006-2013 годами.

Некоторые из них указывали на то, что разработанная фирмой система устанавливалась на правительственных объектах — например, в летней резиденции президента «Бочаров ручей» в Сочи, на Волгодонской и Ленинградской АЭС, в ещё одной президентской резиденции «Валдай» в Новгородской области и в доме правительства Московской области.

Один из добытых хакером файлов документации показал, что разработанное фирмой ПО связано с гидроакустическим устройством подводной охраны «Трал-М». Такие устройства используются для обнаружения мелких целей, пытающихся проникнуть на охраняемый объект — например, боевых пловцов.

ПО использовалось для того, чтобы отображать охраняемые зоны, показывать обнаруженные цели и сохранять полученные данные в файл. На одном из таких выходных файлов, датированных 2008 годом, хакер обнаружил расстановку охраняемых зон, как предполагается, у здания правительства Московской области.

dc6e90c0128283

Скриншот из архивов ПО

aa231902102b15

Спутниковый снимок здания правительства МО

 

В исходном коде программы хакер также обнаружил «защиту от начальства»: при отсутствии определённого файла в папке Windows она выдавала сообщение «ОАО НПП „ХХХ“ не оплатило разработку это приложения! Приложение будет закрыто!».

По мнению исследователя безопасности, уязвимость может до сих пор присутствовать в ПО систем для охраны правительственных объектов.

Там же на сайте [производителя оборудования] указано, что срок службы данных изделий не менее 10 лет, то есть если проги были поставлены в 2008 году, то они еще работают и, возможно, такие же дырявые (или это программные закладки, или перед выпуском в продакшн не закомментили тестовые строки).

densneg

По словам автора публикации, «хакер Вася» после озвучивания ценника за проделанную работу вознаграждения от «старого знакомого» не получил, а затем попытался связаться с руководителем предприятия, который и разрабатывал ПО. Однако там ему ответили грубым отказом и угрозами.

 

Как обычно был дан двухнедельный интервал перед обнародованием написанной статьи, однако пришедший ответ Васю несколько обескуражил, приводится с некоторыми ремарками (аудитория все-таки культурная):

«Послушай м[аз]ило мне глубоко по[б]ую как ты получил или спи[н]дил эту информацию. Ты не представляешь в какое г[уа]но вляпался и если об этом узнает кто-нибудь еще то искать тебя будут всей страной а я лично тебя [покараю]». […]

densneg

Автор исследования решил не публиковать исходные данные программы целиком, однако предоставил код некоторых модулей. Стоимость подобной разработки он оценил в несколько миллионов рублей, а также высказал предположение, что помимо обнаруженных им уязвимостей могут быть и другие: «Надеюсь, что существующие уязвимости изготовитель устранил, но кто гарантирует, что там нет других, не таких явных?»

Источник: TJ



Социальные комментарии Cackle