В середине января 2017 года журналисты издания Vice Motherboard сообщили, что в распоряжении редакции оказался дамп, содержащий более 900 Гб информации с серверов Cellebrite. По информации издания, компанию Cellebrite в 2016 году скомпрометировал неназванный хакер, и украденные данные частично были взяты с серверов, связанных с сайтом компании. Сообщалось, что дамп содержит информацию о пользователях, некие базы данных, документацию, а также большое количество технической информации о продукции Cellebrite, в том числе скрипты, БД и логи. Кроме того, журналисты обнаружили что-то похожее на файлы улик, то есть информацию, извлеченную с чьих-то мобильных телефонов при помощи инструментов Cellebrite.

Напомню, что израильская компания Cellebrite – это независимые киберкриминалисты, которые специализируются на извлечении данных с мобильных устройств. Так, в прошлом году именно эту израильскую фирму называли основным кандидатом на роль подрядчика ФБР, когда правоохранители искали специалистов для взлома iPhone террориста. К тому же, по данным СМИ, Cellebrite давно и плотно сотрудничает с американской полицией, и правоохранители платят киберкриминалистам миллионы долларов.

Спустя почти месяц с момента появления первых сообщений о взломе, хакеры решили начать публиковать похищенную у Cellebrite информацию в открытом доступе. На PasteBin выложили «небольшой образец 900-гигабайтного дампа». Хакеры пишут, что данные были извлечены из UFED-образов, хранившихся на сервере компании. Причем изначально данные якобы были зашифрованы, но злоумышленникам удалось справиться с этой защитой и добраться до информации. Так, README-файл гласит, что дамп содержит полностью работающий и расшифрованный Python-скрипт, предназначенный для управления эксплоитами компании, а сами эксплоиты поставляются в комплекте. Также в описании дампа сами злоумышленники отмечают, что многие инструменты для работы с iOS, найденные у Cellebrite, очень похожи на то, чем обычно пользуются джейлбрейкеры.

Неизвестно, использовались ли опубликованные исходники в UFED (Universal Forensic Extraction Device) на самом деле. Как бы то ни было, многие папки дампа содержат в названии аббревиатуру «ufed», а также названия моделей различных смартфонов, включая устройства BlackBerry или Samsung.

Известный специалист по информационной безопасности Джонатан Здзиарски (Jonathan Zdziarski) говорит, что опубликованные инструменты вряд ли можно назвать эксплоитами и чем-то сенсационным, так как большая их часть действительно хорошо известна на джейлбрейкерской сцене. К примеру, ряд конфигурационных файлов содержит отсылки к limera1n – джейлбрейкерскому софту, созданному Джорджем Хоцем aka GeoHot. Другие части кода явно позаимствованы у другого известного проекта, QuickPwn, но адаптированы для нужд криминалистов (например, в дампе есть инструменты для брутфорса PIN-кодов, для чего обычно инструменты для джейлбрейка не используют).

Специалисты Cellebrite заявили журналистам, что опубликованный дамп содержит файлы, которые распространятся с приложением компании и доступны для ее клиентов, но он не содержит ничего критического и исходных кодов. Хотя сразу после утечки представители Cellebrite сообщали, что были похищены только базовые контактные данные пользователей, теперь слова журналистов Vice Motherboard подтверждаются: хакеры явно украли больше, чем признают в Cellebrite.



1 комментарий

  1. ShtepSSel

    03.02.2017 at 23:19

    Качество ПО можно было понять ещё при попытках группы сбыть этот индусский код за деньги.

Оставить мнение