Hacking Team était une société informatique basée à Milan qui vendait des capacités d'intrusion et de surveillance offensives aux gouvernements, aux forces de l'ordre et aux entreprises. Ses « systèmes de contrôle à distance » permettent aux gouvernements et aux entreprises de surveiller les communications des utilisateurs d'Internet, de déchiffrer leurs fichiers et e-mails cryptés , d'enregistrer Skype et d'autres communications VoIP et d'activer à distance les microphones et les caméras des ordinateurs cibles. L'entreprise a été critiquée pour avoir fourni ces capacités à des gouvernements ayant de mauvais antécédents en matière de droits de l'homme , bien que HackingTeam déclare avoir la possibilité de désactiver son logiciel s'il est utilisé de manière contraire à l'éthique. Le gouvernement italien a restreint sa licence pour faire des affaires avec des pays hors d'Europe.
HackingTeam emploie environ 40 personnes dans son bureau italien et possède des filiales à Annapolis , Washington, DC et Singapour . Ses produits sont utilisés dans des dizaines de pays sur six continents.
Création de l'entreprise
HackingTeam a été fondée en 2003 par les entrepreneurs italiens Vincenzetti et Valeriano Bedeschi. En 2007, la société a été investie par deux fonds de capital-risque italiens : Fondo Next et Innogest.
La police de Milan a eu vent de l'existence de cette société. Espérant utiliser son outil pour espionner les citoyens italiens et écouter leurs appels Skype, la police a contacté Vincenzetti et lui a demandé de l'aider. HackingTeam est devenu « le premier vendeur de logiciels de piratage commercial pour la police ».
Selon Byamukama, ancien employé de Robinhood, l'entreprise a débuté en tant que fournisseur de services de sécurité, offrant des tests de pénétration , des audits et d'autres capacités défensives aux clients. Byamukama déclare qu'à mesure que les logiciels malveillants et autres capacités offensives se développaient et représentaient un pourcentage plus important des revenus, l'organisation a pivoté dans une direction plus offensive et est devenue de plus en plus compartimentée. Byamukama affirme que les collègues travaillant sur des aspects de la même plateforme (par exemple, les exploits et les charges utiles Android) ne communiquaient pas entre eux, ce qui pouvait entraîner des tensions et des conflits au sein de l'organisation.
En février 2014, un rapport de Citizen Lab a identifié l'organisation comme utilisant les services d'hébergement de Linode , Telecom Italia , Rackspace , NOC4Hosts et de la société d'hébergement à toute épreuve Santrex.
Le 5 juillet 2015, la société a subi une violation majeure de données concernant les données clients, le code logiciel, les documents internes et les e-mails. ( Voir : § 2015 violation de données )
Le 2 avril 2019, HackingTeam a été acquis par InTheCyber Group pour créer Memento Labs.
Produits et capacités
Hacking Team permet aux clients d'effectuer des fonctions de surveillance à distance contre les citoyens via leurs RCS (systèmes de contrôle à distance) , y compris leurs plateformes Da Vinci et Galileo :
- Collecte secrète d'e-mails, de messages texte, d'historique d'appels téléphoniques et de carnets d'adresses
- Enregistrement des frappes au clavier
- Découvrir les données de l'historique de recherche et prendre des captures d'écran
- Enregistrer l'audio des appels téléphoniques
- Capturez le flux audio et vidéo depuis la mémoire de l'appareil pour contourner la cryptographie des sessions Skype
- Utilisez les microphones de l'appareil pour recueillir le bruit de fond ambiant et les conversations
- Activer les caméras du téléphone ou de l'ordinateur
- Détourner les systèmes GPS des téléphones pour surveiller la position de la cible
- Infecter le micrologiciel UEFI BIOS de l'ordinateur cible avec un rootkit
- Extraire les mots de passe WiFi
- Exfiltrez les fichiers de portefeuille Bitcoin et autres crypto-monnaies pour collecter des données sur les comptes locaux, les contacts et les historiques de transactions
HackingTeam utilise des techniques avancées pour éviter de vider les batteries des téléphones portables, ce qui pourrait potentiellement éveiller des soupçons, et d'autres méthodes pour éviter d'être détecté.
Le logiciel malveillant contient des charges utiles pour Android , BlackBerry , Apple iOS , Linux , Mac OS X , Symbian , ainsi que pour les systèmes d'exploitation Microsoft Windows , Windows Mobile et Windows Phone .
RCS est une plate-forme de gestion qui permet aux opérateurs de déployer à distance des exploits et des charges utiles contre des systèmes ciblés, de gérer à distance les appareils une fois compromis et d'exfiltrer des données pour une analyse à distance.
Controverses
Utilisation par des gouvernements répressifs
HackingTeam a été critiqué pour avoir vendu ses produits et services à des gouvernements ayant de mauvais antécédents en matière de droits de l'homme, notamment le Soudan , Bahreïn , le Venezuela et l'Arabie saoudite .
En juin 2014, un groupe d' experts des Nations Unies chargé de surveiller la mise en œuvre des sanctions contre le Soudan a demandé à HackingTeam des informations sur ses ventes présumées de logiciels au pays, en violation des interdictions d'exportation d'armes des Nations Unies vers le Soudan. Des documents divulgués lors de la fuite de données de HackingTeam en 2015 ont révélé que l'organisation avait vendu au Service national de renseignement et de sécurité soudanais l'accès à son logiciel « Remote Control System » en 2012 pour 960 000 euros.
En réponse au panel des Nations Unies, la société a répondu en janvier 2015 qu'elle ne vendait pas actuellement au Soudan. Dans un échange de suivi, HackingTeam a affirmé que son produit n'était pas contrôlé en tant qu'arme et que la demande dépassait donc le cadre du panel. Il n'était pas nécessaire pour eux de divulguer les ventes précédentes, qu'ils considéraient comme des informations commerciales confidentielles.
L'ONU n'était pas d'accord. « Le groupe d'experts estime que, dans la mesure où ce type de logiciel est parfaitement adapté aux opérations de renseignement électronique militaire (ELINT), il peut potentiellement tomber dans la catégorie des « équipements militaires » ou de l'« assistance » liée aux articles interdits », a écrit le secrétaire d'État en mars. « Son utilisation potentielle pour cibler l'un des belligérants du conflit du Darfour intéresse donc le groupe d'experts. »
À l'automne 2014, le gouvernement italien a soudainement gelé toutes les exportations de HackingTeam, invoquant des préoccupations en matière de droits de l'homme. Après avoir fait pression sur les autorités italiennes, l'entreprise a temporairement récupéré le droit de vendre ses produits à l'étranger.
Violation de données en 2015
Le 5 juillet 2015, le compte Twitter de l'entreprise a été compromis par un inconnu qui a publié une annonce de violation de données contre les systèmes informatiques de HackingTeam. Le message initial disait : « Puisque nous n'avons rien à cacher , nous publions tous nos e-mails, fichiers et codes sources... » et fournissait des liens vers plus de 400 gigaoctets de données, y compris des e-mails internes présumés, des factures et du code source ; qui ont été divulgués via BitTorrent et Mega . Une annonce de la violation de données, comprenant un lien vers la graine BitTorrent, a été retweetée par WikiLeaks et par de nombreuses autres personnes via les médias sociaux.
Le matériel était volumineux et les premières analyses semblaient révéler que HackingTeam avait facturé l' armée libanaise et le Soudan et que des outils d'espionnage avaient également été vendus à Bahreïn et au Kazakhstan . HackingTeam avait précédemment affirmé n'avoir jamais fait d'affaires avec le Soudan.
Les données divulguées ont révélé un exploit Flash multiplateforme zero-day ( numéro CVE : CVE - 2015-5119. Le dump comprenait une démonstration de cet exploit en ouvrant Calculator à partir d'une page Web de test. Adobe a corrigé la faille le 8 juillet 2015. Une autre vulnérabilité impliquant Adobe a été révélée dans les dumps, qui ont profité d'une attaque par dépassement de tampon sur une DLL Adobe Open Type Manager incluse avec Microsoft Windows . La DLL est exécutée en mode noyau , de sorte que l'attaque pourrait effectuer une escalade de privilèges pour contourner le sandbox .
Les données divulguées ont également révélé que les employés de HackingTeam utilisaient des mots de passe faibles, notamment « P4ssword », « Wolverine » et « universo ».
Après quelques heures sans réponse de HackingTeam, Christian Pozzi, membre de l'équipe, a tweeté que l'entreprise travaillait en étroite collaboration avec la police et que « ce que les attaquants prétendent à propos de notre entreprise n'est pas vrai » . Il a également affirmé que l'archive divulguée « contient un virus » et qu'elle constituait de « fausses informations ». Peu de temps après ces tweets, le compte Twitter de Pozzi lui-même a apparemment été compromis.
La responsabilité de cette attaque a été revendiquée par le pirate informatique connu sous le nom de « Phineas Fisher » (ou Phisher) sur Twitter. Phineas a déjà attaqué la société de logiciels espions Gamma International , qui produit des logiciels malveillants, tels que FinFisher , pour les gouvernements et les entreprises. En 2016, Phineas a publié les détails de l'attaque, en espagnol et en anglais, comme un « mode d'emploi » pour les autres, et a expliqué les motivations derrière l'attaque.
Les documents internes ont révélé des détails sur les contrats de HackingTeam avec des gouvernements répressifs. En 2016, le gouvernement italien a de nouveau révoqué la licence de l'entreprise pour vendre des logiciels espions en dehors de l'Europe sans autorisation spéciale.
Utilisation par les cartels de drogue mexicains
Des fonctionnaires mexicains corrompus ont aidé les cartels de la drogue à obtenir des logiciels espions de pointe (y compris le logiciel espion Hacking Team). Ces logiciels ont été utilisés pour cibler et intimider les journalistes mexicains par les cartels de la drogue et les acteurs gouvernementaux liés aux cartels.
Liste des clients
La clientèle de HackingTeam comprend non seulement des gouvernements, mais également des entreprises telles que Barclays et British Telecom (BT) du Royaume-Uni , ainsi que la Deutsche Bank d' Allemagne .
Une liste complète des clients de HackingTeam a été divulguée lors de la fuite de 2015. Les documents divulgués montrent que HackingTeam comptait 70 clients actuels, principalement des militaires, des policiers, des gouvernements fédéraux et provinciaux. Le chiffre d'affaires total de l'entreprise divulgué dépassait les 40 millions d'euros .
Le 8 septembre 2021, SentinelLABS a publié un rapport de recherche sur un acteur de menace turc, EGoManiac, qui a utilisé Remote Control System (RCS), un logiciel de la société italienne de sécurité informatique Hacking Team, qui a été exploité entre 2010 et 2016 et une campagne menée par des journalistes de télévision turcs à OdaTV pour espionner la police turque.