Een hacker, bekend als Phineas Fisher, heeft een gedetailleerde beschrijving gepubliceerd van zijn aanval op het Italiaanse bedrijf Hacking Team in 2015. Hij beschrijft hoe hij te werk ging en welke tools hij inzette om 400GB aan gegevens buit te maken.
De naam van de hacker is waarschijnlijk een woordspeling op de FinFisher-malware, die wordt geleverd door het Duitse bedrijf Gamma International. Dit bedrijf was eerder doelwit van dezelfde hacker. Het onlangs gepubliceerde verhaal is een vertaling van een stuk dat oorspronkelijk in het Spaans verscheen. De hacker geeft aan dat hij zijn werkwijze voor deze aanval heeft aangepast, zodat hij niet aan de hand van zijn techniek geïdentificeerd kan worden. Het relaas begint met een weergave van de werkwijze en er worden algemene tips gegeven, zoals het versleutelen van harde schijven als veiligheidsmaatregel.
Ook gaat de hacker in op zijn infrastructuur, die bestaat uit zowel stabiele als gehackte servers. Daarnaast maakt hij gebruik van domeinnamen, om een gegarandeerde tunnel te hebben vanuit het gehackte netwerk naar command and control-servers. Om informatie over het doelwit te verzamelen prijst de hacker de veelzijdigheid van Google in combinatie met een aantal specifieke zoektermen.
Nadat Fisher genoeg informatie had verzameld kon hij beginnen het netwerk van Hacking Team binnen te dringen. Hij koos ervoor om geen gebruik te maken van spear phishing, omdat het Italiaanse bedrijf zelf deze techniek van gerichte phishing-aanvallen vaak gebruikte. Ook overwoog hij toegang te kopen van Russische partijen, die toegang zouden hebben tot nagenoeg alle Fortune 500-bedrijven. Hacking Team was echter een te kleine partij voor deze aanpak. Hem bleef niets anders over dan tot dan toe onbekende kwetsbaarheden, oftewel zero days, te zoeken in de systemen die op de servers van Hacking Team aanwezig waren, waaronder het contentmanagementsysteem Joomla en de e-mailsoftware Postfix.
Uiteindelijk koos hij ervoor om dergelijke kwetsbaarheden te zoeken in embedded devices die een bepaalde functie uitvoeren, zoals een router. Na twee weken had hij een lek gevonden dat hem in staat stelde om op afstand code uit te voeren op het apparaat door middel van rce. Nu hij toegang had, kon hij de rest van het Hacking Team-netwerk verkennen. Zo vond hij een iscsi-apparaat dat hem naar een aantal databases leidde. Daarin vond hij back-ups die gehashte wachtwoorden bevatten, onder andere van een lokale beheerder. Aan de hand daarvan kwam hij in het bezit van meer wachtwoorden.
Hierna was hij in staat om de e-mail en bestanden van het bedrijf te downloaden, waarna hij deze in 2015 via een torrentbestand openbaar toegankelijk maakte. In totaal zou de hack hem ongeveer honderd uur gekost hebben. Na deze gebeurtenis leek het alsof Hacking Team gestopt was, maar later waren er verschillende aanwijzingen dat het bedrijf nog steeds actief is en spionagetools aan overheden en andere partijen verkoopt. Ook besloot de Italiaanse regering onlangs dat het bedrijf zich alleen nog maar op Europese overheden mag richten.