Pořád nějak nemůžu přijít na ten způsob, jak se do těch počítačů infiltrovali. Vypadalo to podle té uniklé komunikace spíš na to, že posílali e-mailem (nebo nějak jinak) odkazy, které ve skutečnosti vedly na stránky, které obsahovaly nějaký škodlivý kód, a které současně hned po vykonání "všeho potřebného" sledovanému zobrazily nějaký obsah, který mu v e-mailu slíbili. To mi ale přijde jako docela primitivní služba :-) Asi se holt platilo spíš za ten software, co se skrz ten flash (a jiné díry) do počítače dostal.
Tak nějak to asi standardne probíhalo. Mail co přijde s fake url linkem co obsahuje špinavý kód,který vás pak přesune na cajk sajtu. V té době už však máte doma na pc se špinavý malware.
Otázka je však zda by nebylo levnější dostat přiznání daného člověka někde v temné garáži, než platit licenci na tohle... ;-)
Také asi uvažovaji o možnosti útoku přes wifi a s použitím IMSI catcheru https://wikileaks.org/hackingteam/emails/emailid/501044
A což nakažený FW řadiče HDD? Pokud FW nezkriplil přímo výrobce, je až tak velký problém, zkriplit ho nevinně se tvářícím mailem dodatečně? O backdoorech ve Widlích nemá vůbec cenu diskutovat; nainstalujete záplatu, v dobré víře, že systém chráníte, v reálu si do něj sami uděláte díru jak do ementálu.
https://wikileaks.org/hackingteam/emails/emailid/437153
Zde mate specifikaci, vcetne cz verze. V podstate jak tu pise nekdo vyse, proxy + MIT. Pro Wifi musi znat passphrase, pro ISP stroj do racku, cele to bezi na Gentoo.. Zadna veda.
V zachycené komunikaci jsou žádosti o word a powerpoint exploity:
Viz třeba https://wikileaks.org/hackingteam/emails/emailid/42268 https://wikileaks.org/hackingteam/emails/emailid/735 https://wikileaks.org/hackingteam/emails/emailid/1459
Dále tam jsou i Flash a pdf exploity. Vypadá to, že měli nějaký kit na generování a prodávali je vždy jen na určitou dobu. K tomu taky poskytovali rozhraní někde u nich na webu. Viz ta hláška:
> Here is the archive file containing the infecting document.
> Please check if everything works properly, and if you receive logs from the real target.
> Since the infection is one-shot, remember to not open the document inside the archive in your lab!
> Don't put this file on public websites or social networks (Facebook, Twitter), it is unsafe for you and it could be triggered by automatic bots.
> The exploit will be available only for a limited period of time, after 7 days it will automatically deactivate itself.
Infekce minimálně v částech případů vypadala tak, že mailem ti pošlou nějaký důvěryhodně vypadající soubor. Třeba Výpis dluhů.doc, který spamfiltr nevyhodí, protože to jinak vše vypadá naprosto korektně. Klikneš na to, otevře se ti výpis, kde je vidět, že nemáš žádný dluh. Ulehčeně si oddychneš a soubor smažeš. Na pozadí se mezitím nainstaloval rootkit backdoor.