To właśnie tym dokumentem Centralne Biuro Antykorupcyjne infekowało swoje ofiary
Z serwerów zajmującej się produkcją złośliwego oprogramowania firmy Hacking Team „wyciekło” ponad 400 gigabajtów informacji. A w nich korespondencja z klientami. W tym z polskim Centralnym Biurem Antykorupcyjnym.
Tworzenie złośliwego oprogramowania na zamówienie nie różni się zbytnio od budowania dowolnego innego programu. Jedna firma owo oprogramowanie buduje, a klient je testuje i zgłasza problemy, lub potem domaga się pomocy technicznej gdy program znajduje się już w fazie produkcyjnej. Przekonujemy się o tym dzięki lekturze danych, jakie wyciekły z Hacking Team.
Znajduje się w nich korespondencja z klientami, w tym z CBA, które miało problemy z trojanami od Hacking Team. Jak czytamy na Zaufanej Trzeciej Stronie, albo serwer trojana nie mógł poprawnie połączyć się z bazą danych, albo występowały awarie związane ze zdefiniowanymi powiadomieniami, albo nie można było nawiązać szyfrowanego połączenia.
Warto zaznaczyć, że CBA zachowywało wszelkie niezbędne środki ostrożności, a za wyciek odpowiada wyłącznie nieostrożność pracowników Hacking Team, choć redakcja Zaufanej Trzeciej Strony wyraziła zdziwienie, dlaczego rządowa agencja korzysta z Gmaila zamiast wykorzystywać skrojone pod siebie na miarę serwery pocztowe.
Jak CBA infekowało swoje ofiary?
Za przykład niech posłuży jeden plik, z którym pracownik CBA miał problemy, o których doniósł do pomocy technicznej Hacking Team. Był to dokument Worda „rewolucja_smieciowa.docx”, a więc dokument o dość "nośnym" tytule. do którego dołączony był exploit. Plik miał być dostarczany ofierze w skompresowanym archiwum, a to oznaczało, że system nie traktował go jako pobranego z Sieci i obniżał poziom zabezpieczeń, pozwalając mu na pobranie konia trojańskiego a, co za tym idzie, pozwalał na wykonanie złośliwego kodu.
W tym przypadku było to odwołanie się do umieszczonego zdalnie pliku Flash, który następnie wykorzystywał lukę w zabezpieczeniach tej wtyczki i pozwalał na dalszą infekcję komputera ofiary.