神刀安全网

深度调查:黑客是如何攻破防线窃取“巴拿马文件”的?

引子

巴拿马文件是一大批从巴拿马的莫萨克—冯赛卡律师事务所的计算机系统中盗出的高级机密文件,最近被泄露到了互联网上。

它被认为是有史以来最大的泄密案,泄漏的数据包含了超过1150万份文件,数据总量超过2.6TB,数据的内容是关于被世界上最有权利的人掌控的离岸空壳公司的活动情况,其中包括全世界72位现任或者前国家领导人。

为了更直观地衡量被泄漏数据的规模,我们将其与其它事件中泄漏的文件量进行比较。

深度调查:黑客是如何攻破防线窃取“巴拿马文件”的?

尽管如此甚嚣尘上,但是Mossack Fonseca的大部分客户并没有违反任何法律,因为这个公司所提供的这些服务是合法的。不过问题在于:一部分客户可能将这些服务进行滥用,用于逃税和洗钱。

深度调查:黑客是如何攻破防线窃取“巴拿马文件”的?

巴拿马文件由一匿名者于2015提供给南德意志报。报方将文件与国际调查记者同盟分享,同盟中包括卫报和英国广播公司。

国际调查记者同盟的记者对档案中的大量文件进行了整整一年的分析,现在他们公布了自己的发现。巴拿马文件中包括了邮件,银行记录和属于莫萨克丰塞卡事务所的客户发票等。

调查

那么,谁是匿名消息来源,而这位匿名者,又是如何从公司电脑中偷出这些数据的呢?

Ramon Fonseca(Mossack Fonseca公司的联合创始人)称:

这些机密文件是被黑客非法获取到的,这可能与去年公司邮件服务器的数据泄漏有关。

El Espanol媒体机构证实了这个猜想:Mossack Fonseca公司曾向其客户发送了邮件,宣布正在调查这个数据泄漏事件,而且将采取所有必要措施去阻止其再次发生。

El Espanol报道:

当证实确实遭到了攻击之后,该公司已经针对”邮件系统被攻击”展开了调查。

Mossack Fonseca称,将采取所有必要措施去阻止此类事件再次发生,并且已经对安全系统进行了加固,同时正在与安全顾问合作,来确认一些”可能攻击者”的准确信息。此外,该公司的市场营销主管代表公司向客户进行了道歉,并发送了邮件来澄清问题。

国际调查记者同盟已经确认涉及超过214000个组织,营业额达几十亿美元。

是谁入侵了Mossack Fonseca公司?又是如何做到的呢?

让我们试着去了解黑客是如何入侵这个公司的吧。在攻击发生之后,安全专家为了发现可能被攻击者利用了的漏洞,对该公司的系统进行了安全测试。

让人想不通的是,这个公司为数以千计的知名组织和领导人保守着秘密,为什么会被如此容易地入侵呢?安全专家开展的安全测试成功发现了该公司向互联网开放的系统中的漏洞。

最早的猜想之一是黑客利用一个名为Revolution Slider的插件中的漏洞,成功入侵了该公司一个基于WordPress的网站。

来自互联网的消息称:黑客对Mossack Fonseca公司用于支付的子网站发动了sql注入攻击,成功入侵了该网站。

深度调查:黑客是如何攻破防线窃取“巴拿马文件”的?

一位匿名的研究者使用推特账户@1×0123声称发现了一个属于巴拿马莫萨克—冯赛卡律师事务所的企业系统的SQL注入漏洞。

他在推特上说:

他们更新了新的支付cms系统,但是忘记了对/onion/目录进行限制。

之前,他还曾发现过一些主流媒体的安全问题,例如洛杉矶时报,纽约时报。同时他还向NASA报告过安全问题。

另外,@1×0123还联系过斯诺登,指出了他项目中的一些漏洞,斯诺登在新闻自由基金会网承认了这个漏洞报告。

深度调查:黑客是如何攻破防线窃取“巴拿马文件”的?

仔细看一下他分享的照片,可以看出这个系统似乎是基于Oracle数据库的。当然,仅这样还不能确认黑客就是使用这个方法入侵系统的。然而,这足以让我们担心,巴拿马公司存放机密文件的数据库之中是否存在与其相似的漏洞。

WordFence安全公司的专家也提供了此事件的有趣分析,其描述了黑客(可能)如何使用WordPress的Revolution Slider plug-in插件入侵这个公司的邮件服务器的。他们同时还解释了黑客可能是通过Drupal CMS一个旧版本的漏洞实施的入侵,进而获得了Mossack Fonseca公司的文件。

通过该公司向其客户发送的邮件证实了其邮件服务器确实遭到了攻击,公司使用的某版本的Revolution Slider插件存在的漏洞导致了这个攻击。一旦攻击者拿到了公司WordPress站点的权限,那么他就可以浏览wp-config.php文件的内容,该文件中明文存储了数据库的凭据(密码信息)。

攻击者将可能使用这些凭据来进一步渗透数据库。

WordFence的安全专家发现,在 www.mossfon.com 网站中,除了存在Revolution slider插件外,还另有其它两个插件,WP SMTP插件和ALO EasyMail Newsletter插件。

WP SMTP插件在WordPress数据库中明文存储着邮件服务器地址和登录信息。一旦攻击者得到了wp-config.php中的数据库凭据,他就可以访问邮件服务器。

ALO EasyMail Newsletter插件提供列表管理功能,其需要从邮件服务器中读取邮件,所以这个插件也在WordPress数据库中明文存储着邮件服务器的登录信息。

Wordfence报道:

通过Revolution Slider插件中的漏洞获取到WordPress站点权限之后,攻击者就能访问WordPress数据库,访问到这些明文凭证,接着就可以访问邮件服务器了,通过POP或者IMAP攻击者就可以读取电子邮件了。

总结

总结一下,这一过程对于攻击者来说是很有可能的,先通过WordPress插件Revolution Slider中的已知漏洞获取到WordPress站点的权限,接着获取了数据库,而其中存放着邮箱系统的数据。

专家强调,此公司没有对这些被入侵的系统执行最小权限原则,允许WordPress插件的邮箱账户可以得到他们并不需要的数据和资源。

WordFence的安全专家还解释了黑客可能是通过入侵一个门户网站: https://portal.mossfon.com/ ,来获取到企业客户文件的。

深度调查:黑客是如何攻破防线窃取“巴拿马文件”的?

不幸的是,这个门户站使用着一个存在漏洞的Drupal版本:7.23,存在数不清的漏洞。

WordFence的安全专家还可以通过访问门户站的changelog.txt文件,进一步证实这个公司的网站使用着一个存在漏洞的Drupal版本。

深度调查:黑客是如何攻破防线窃取“巴拿马文件”的?

一旦攻击者攻破了客户端权限认证系统,他就可以得到任何存储在门户站的信息。

我们现在已经基本搞清楚Mossack Fonseca泄漏案中,黑客采用了哪些可能的入侵技术,然而,我们却很难搞清楚是谁指使或者是主持了这次攻击。

不幸的是,该公司没有用正确的态度看待安全,以至于没能保护好哪些机密文件。这一事件,也再一次为人们敲响了安全的警钟。

*原文链接: infosecinstitute ,watcher编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 深度调查:黑客是如何攻破防线窃取“巴拿马文件”的?

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址