Вы находитесь на странице: 1из 4

52 Сцена ХАКЕР 02 /181/ 2014

Как создавалась культовая база 0-day-эксплойтов


Сегодня речь пойдет о создании одной из самых больших баз данных эксплойтов — 1337day.
com. Этот культовый в сетевом андеграунде портал проложил путь для таких ресурсов,
как exploit-db, packetstormsecurity, Metasploit и многих других. Впрочем, история этого ресурса
была бы неполной без рассказа о хак-группе, основавшей его, — milw0rm.

ИСТОРИЯ MILW0RM
История 1337day.com начинается с далекого 1998 года, когда
мир впервые услышал о группе хакеров, именовавших себя
milw0rm. Главной целью команды были объекты, имеющие
отношение к разработке и спонсированию атомных техноло-
гий и ядерного оружия. Главным достижением команды стало
проникновение в интранет и взлом сайта Индийского атомно-
го исследовательского центра BARC (Bhabha Atomic Research Сергей Вишняков
Centre). n3tw0rk@n3tw0rk.ru
В мае 1998 года Индия провела серию ядерных испытаний,
после чего объявила себя ядерной державой. За четыре дня
до инцидента с BARC, 29 мая 1998 года, пять постоянных чле-
нов Совета Безопасности ООН (США, Россия, Великобритания,
Франция и Китай) осудили Индию за теоретическую попытку
создания ядерного оружия. За день до кибератаки на иссле-
довательский центр им. Баба Жак Ганслер (Jacques Gansler),
заместитель министра обороны США, предупредил о возмож-
ности взлома военные организации. Ганслер сообщил, что ин-
тернет-андеграунд категорически против испытаний ядерного
оружия, и в связи с этим хакеры представляют угрозу для на-
циональной безопасности. Итоги успешной атаки
В ночь на 3 июня 1998 года члены команды milw0rm со своих на домен Европейского
рабочих станций, расположенных на трех континентах нашей союза
ХАКЕР 02 /181/ 2014 1337 53

необъятной планеты, проникли в локальную сеть BARC, ис- ние ядерного гриба, которое позже из-за широкого резонанса
пользуя для этого военную компьютерную сеть министерства в обществе было показано на телеканале CNN в репортаже (bit.
обороны США (.mil). Они получили root к каталогам атомного ly/1c2ZMxI) о взломе атомного исследовательского центра.
исследовательского центра, что дало им доступ к конфиден- После взлома milw0rm слили в интернет все, что смогли до-
циальной информации из электронной почты. Там им удалось стать: описание уязвимостей в серверах исследовательского
найти переписку между учеными BARC, связанную с развитием центра, отчеты работников на несколько тысяч страниц и ре-
ядерного оружия и пятью последними ядерными испытаниями. зультаты исследований последних пяти ядерных испытаний.
Кроме того, был получен контроль над шестью серверами ис- В одном из интервью независимому журналисту мембер
следовательского центра. команды под ником keystroke утверждал, что взлом исследова-
В итоге milw0rm открыли доступ к секретным документам тельского центра был осуществлен ровно за 13 минут и 56 се-
другим командам хакеров из США, Великобритании и Новой Зе- кунд. Это была тщательно спланированная атака с маршрути-
ландии. Более того, один из членов команды под ником Savec0re Главная страница зацией через серверы на разных континентах, для выполнения
уничтожил все данные на двух серверах BARC в знак протеста milw0rm.com которой понадобилось несколько дней подготовки.
против ядерного потенциала исследовательского центра.
Чтобы заявить о проникновении публично, Милворм про- СМЕНА ДОМЕННОГО ИМЕНИ, ПЕРЕЕЗД СЕРВЕРОВ,
вели дефейс сайта BARC, поместив на нем заявление о своих Печальное сообщение ИСТОРИЯ УЧАСТНИКОВ КОМАНДЫ
намерениях и цитату одного из участников: «Верните власть от keystroke :) Первоначально база данных эксплойтов находилась на домене
в руки народа». Также на сайте было опубликовано изображе- milw0rm.com. Портал собирал вокруг себя множество людей,
54 Сцена ХАКЕР 02 /181/ 2014

Взлом серверов НАТО

Новогоднее
поздравление
администрации
ExploitHub

начиная от хакеров и сочувствующих и заканчивая представи- MILW0RM СНОВА В СТРОЮ


телями правительственных организаций и силовых ведомств Многих неприятно удивила новость о закрытии портала. На тот
разных стран. Для многих деятелей андеграундного мира момент уже были другие ресурсы с базами эксплойтов, но они
площадка стала настоящим домом и главным пристанищем. уступали milw0rm’у по количеству и качеству 0-day-уязвимостей.
На портале витала особая атмосфера: каждый мог получить Поэтому проект поддержало огромное количество людей, бла-
нужную ему информацию или обнародовать новую уязвимость годаря чему ресурс снова ожил в 2011 году. Сейчас он доступен
и обсудить ее с участниками в IRC-конференции. на новом домене 1337day.com и содержит одну из крупнейших
В 2009 году ФБР активно разыскивало участников группы, WARNING баз 0-day-эксплойтов, его посещают мемберы milw0rm. Теперь
и в какой-то момент им удалось выйти на след одного из участ- участники группы из milw0rm стали частью команды inj3ct0r.
ников под ником keystroke, но попытки задержать его оказа- Вся информация После возрождения команды с новыми участниками
лись безуспешными. В ноябре 2009 года на множестве инфор- предоставлена исклю- и на новом домене, видимо, нужно было заявить обществу,
мационных ресурсов появилась новость о том, что keystroke чительно в ознакоми- что milw0rm снова в строю и не отклонились от курса направ-
умер. По одной из версий, эти слухи пустили среди сообще- тельных целях. Лица, ления борьбы с атомными разработками и их спонсированием.
ства сотрудники ФБР, чтобы выйти на других участников груп- использующие данную И 27 июня 2011 года была совершена успешная атака на сайт,
пы, но и эта уловка оказалась безуспешной. Позже появились информацию в противо- связанный с НАТО. Это был электронный книжный магазин
официальные опровержения (например, bit.ly/1c2ZZ3Y) смерти законных целях, могут (лол), который публиковал официальные документы организа-
keystroke. быть привлечены к от- ции для общественности. В ходе атаки была скомпрометиро-
Деятельности milw0rm посвящена целая глава в одной ветственности. вана информация с серверов электронного магазина, которая
из книг Кевина Митника. Savec0re в то время общался на ка- содержала в себе перечень 12 тысяч зарегистрированных поль-
нале IRC с одним человеком, который утверждал, что его род- зователей. Среди этих данных была конфиденциальная инфор-
ственник работает в ФБР и обеспечивает неприкосновенность мация о людях, имеющих прямое отношение к делам НАТО.
хакерской группе milw0rm. «Я думаю, что это должно было дать О проникновении на сервер магазина электронных книг
понять ФБР, что мы не враждебно настроены», — рассказывал было заявлено публично. В свою очередь, НАТО выступил с за-
Savec0re журналисту Нэйлу Маккею в интервью по электронной явлением, что никакого взлома не было и часть информации,
почте. Подробнее об этой истории ты сможешь прочитать в кни- которая была представлена общественности, на самом деле
ге «Искусство вторжения» Кевина Митника. не соответствует действительности.
В связи со взломами сайтов правительства США и Евросо- Спустя несколько дней, 5 июля, в обсуждении на сайте The
юза регистратор доменных имен начал усердно блокировать Hacker News участники команды inj3ct0r сообщили, что провели
домены команды milw0rm. До 2009 года milw0rm поменяли еще одну успешную атаку, направленную против НАТО, но те-
множество доменных имен в связи с преследованием органов перь эта атака была совершена прямо на серверы организации.
власти. Проникнуть на сервер удалось с помощью 0-day-эксплойта
В июле 2009 года на сайте milw0rm.com в заголовке появи- для Apache Tomcat версии 5.5, результатом стали привилегии
лось сообщение от keystroke. Заголовок новости был не слиш- Логи серверов НАТО высокого доступа. Найденные уязвимости позволяли прове-
ком радостным: keystroke писал, что прощается с посетителями сти дефейс сайта НАТО, но по некоторым причинам делать это
и участниками проекта, потому что у него нет времени на публи- не стали. В общественный доступ попали также бэкапы веб-
кацию эксплойтов, как это было ранее. Через 72 часа после по- Взлом электронной серверов. Главной причиной этих взломов стала поддержка
явления сообщения домен milw0rm.com был заблокирован ре- библиотеки НАТО и спонсирование организацией атомных технологий и ядерного
гистратором доменных имен. оружия.
ХАКЕР 02 /181/ 2014 1337 55

Также в июле 2011 года была проведена успешная атака ли и адреса электронной почты. Через несколько недель была
на Международную организацию по миграции (www.iom.int), Результаты Взлом проведена еще одна успешная атака на сайт Программы ООН
в ходе которой были скомпрометированы базы данных глав- UNEP по окружающей среде (UNEP), в ходе которой также был полу-
ного сервера организации и был получен доступ к конфиден- чен доступ к конфиденциальной информации, а сайт оставался
циальной информации. В своем заявлении участники команды недоступным в течение 48 часов.
inj3ct0r сообщили, что скомпрометированные данные не будут Root-шелл В список взломов, судя по открытой информации, можно
выложены в общий доступ и проникновение на сервер не пре- vBulletin.com добавить такие популярные ресурсы, как Facebook, MySpace,
следовало такой цели. Главная причина взлома Международной LinkedIn, сайт телекомпании MTV и многие другие. В основном
организации по миграции заключалась в том, что организация полученная информация содержала в себе базы данных поль-
публикует материал, в котором, по мнению хакеров, содержа- зователей и бэкапы веб-серверов.
лось много лживой и недостоверной информации о военных Из последнего также можно вспомнить атаку на сер-
действиях, проходивших в Ливии. вер самого популярного коммерческого форумного движка
В 2012 году inj3ct0r снова заявили о себе. В одной из ново- vBulletin.com. В результате были получены привилегирован-
стей на нашем сайте рассказывалось о взломе одной из круп- ные права на веб-серверах ресурса vBulletin.com и база дан-
ных площадок эксплойтов exploithub.com. По утверждениям ных ресурса. Сама атака имела вектор удаленного инжекта
участников inj3ct0r, они получили все базы данных веб-сервера кода в последнюю версию vBulletin, с помощью которой был
и файлы с FTP-сервера портала, среди которых было множество залит шелл-код.
эксплойтов, в том числе и 0-day. По оценке участников команды, Также в ноябре 2013 года была проведена успешная атака
их стоимость составляла ровно 242 444 доллара. В доказатель- на крупнейшее сообщество любителей техники Apple, форум
ство взлома на сайте 1337day.com были выложены фрагменты MacRumors, в ходе которой было скомпрометировано более
базы данных с названиями эксплойтов, ценой, датой созда- 800 тысяч аккаунтов, неделей позже inj3ct0r обнаружили XSS-
ния и указанием автора. По словам хакеров, взлом был осу- уязвимость на сайте Пентагона.
ществлен путем переустановки Magento CMS в папку /install/
на сервере с дальнейшей заменой файла phpinfo.php и повы- 1337DAY.COM СЕГОДНЯ
шением привилегий. Причиной взлома ресурса exploithub было На сегодняшний день 1337day.com представляет собой
названо то, что администрация exploithub якобы некомпетентна регулярно обновляемую базу с описаниями уязвимостей
в вопросах информационной безопасности и рынка продажи и эксплойтов для различных программных продуктов. База
эксплойтов, и этим могут заниматься лишь профессионалы. разделена на категории и типы, такие как локальные, уда-
Представители exploithub официально признали факт взлома, БД vBulletin.com ленные, DoS-эксплойты и другие. Также на портале пред-
но указали при этом, что данные, выложенные на сайте 1337day. ставлено деление по операционным системам: BSD, Linux,
com, не являются доказательством проникновения на серверы QNX, OS X, Solaris, Unix, Windows и многие другие известные
и информацию о базе данных эксплойтов можно было получить Слитые пользователи платформы.
в открытом доступе. форума vBulletin.com На сайте есть «черный рынок», на котором возможно про-
Также в 2012 году участники группы inj3ct0r совместно дать свой сплоит. Купить любой эксплойт из приватной зоны
с мемберами групп r00tw0rm и TeaMp0isoN провели успешную сайта можно посредством местной валюты 1337day gold,
атаку на NASA, в ходе которой с серверов организации было по- Кусок базы MacRumors для этого нужно зарегистрироваться на портале и внести требу-
хищено несколько гигабайт конфиденциальной информации. емую сумму для покупки с помощью платежных систем, пред-
Среди скомпрометированных данных содержатся имена, паро- ставленных на сайте.