Хакерская группа Digital Revolution, известная взломами предполагаемых подрядчиков ФСБ, рассказала о новом оружии, заказанном спецслужбой — программе «Фронтон», с помощью которой можно организовывать кибератаки, используя устройства интернета вещей.
Техническую документацию «Фронтонов» хакеры опубликовали в среду, 18 марта. По данным Digital Revolution, существуют разные версии программы — «Фронтон», «Фронтон-3Д» и «Фронтон-18». Все они позволяют заражать «умные» устройства (от цифровых ассистентов до целых «умных» домов), объединять их в сеть и «обваливать» сервера, отвечающие за устойчивость работы крупных интернет-сервисов и интернета в целых странах.
Судя по опубликованным документам, в разработке кибероружия, вероятно, могла участвовать московская компания 0day (ООО «0ДТ») — хакеры Digital Revolution утверждали, что взломали ее еще в апреле 2019 года. Представители компании тогда отказались от комментариев Би-би-си.
Один из документов — «макет опытно-конструкторской работы», который, если верить утечке, якобы готовила ЗАО «ИнформИнвестГрупп» по заказу войсковой части № 64829, более известной как Центр информационной безопасности ФСБ. В ЗАО «ИнформИнвестГрупп» работает около 125 человек, чистая прибыль компании в 2018 году составила 12 млн рублей, ранее она выполняла заказы МВД.
https://twitter.com/D1G1R3V/status/1240226232102539267
https://twitter.com/D1G1R3V/status/1239855029584044032
«Интернет вещей менее защищен, в отличие от мобильных устройств и серверов», — с этой фразы начинается небольшой документ под названием «Обзор». В частности, многие пользователи используют «умные» устройства прямо «из коробки», не меняя стандартные заводские логины и пароли, что делает их доступными мишенями для хакеров.
В 2020 году к интернету вещей будет подключено более 20 млрд устройств, прогнозирует агентство Gartner. В опубликованных документах подрядчики ФСБ ссылаются на опыт Mirai — самой крупной сети зараженных IoT-устройств, которая насчитывала 600 тыс. ботов. В 2016 году она вывела из строя DNS-серверы американской компании Dyn: интернет-сервисы использовали их для обновления информации в режиме реального времени.
В результате атаки на сроки от нескольких минут до нескольких часов оказались недоступны сайт Би-би-си, платежная система PayPal, соцсеть «Твиттер», поставщик фильмов и сериалов Netflix и еще около 70 популярных сервисов.
Тогда в качестве зараженных «зомби», массово отправлявших запросы на эти сервера, организаторы атаки использовали не обычные в таких случаях компьютеры, а принтеры, детские мониторы и IoT-роутеры.
Но в документах предлагается заражать другие объекты: на 95% «ботнет» должен состоять из IP-камер и цифровых видеорекордеров — «если они передают видео, то имеют достаточно большой канал связи, чтобы эффективно совершать DDoS» (именно такой вид хакерских атак использовался Mirai в 2016 году).
Находить мишени для взлома должен специальный «сервер поиска». Подключаться к нему можно через виртуальную частную сеть или браузер Tor; они запутывают соединение таким образом, чтобы нельзя было выйти на конечного пользователя.
В документации продуманы средства, чтобы тщательно скрывать следы. «Исключено использование русского языка и связной кириллицы, для доступа к серверу требуется авторизация, закрыты неиспользуемые порты», — говорится в макете «Фронтонов».
Взламывать устройства предлагается с помощью словаря типичных паролей от IoT-устройств. В отличие от Lizard Stresser — еще одного «ботнета», состоявшего из 120 тыс. зараженных устройств — словарь паролей «не захардкожен» (цитата из документации), то есть его можно редактировать, подстраивая свой словарь под конкретные мишени.
«Сканирование сети происходит самими зараженными машинами, — говорится в «Обзоре». — Таким образом рост заражения происходит в геометрической прогрессии. При достижении определенного количества машин (несколько десятков тысяч) для диапазона адресов IPv4 становится возможным полный поиск всех адресов».
IPv4 — самая распространенная версия протокола передачи данных в интернете, используемая большинством компьютеров и гаджетов. В ней насчитывается более 4 млрд сетевых адресов.
«Мощная атака нескольких сотен тысяч машин способна сделать сайты социальных сетей, файлообменников недоступными в течение нескольких часов. Атака на национальные DNS-сервера может сделать недоступным интернет в течение нескольких часов в небольшой стране», — говорится в опубликованных хакерами документах.
«Шпионаж за всем миром»
Опубликованный 18 марта Digital Revolution слив состоит из 12 технических документов, схем и фрагментов кода, созданных в 2017-2018 годах. В одном из документов указано, что документация «имеет гриф несекретно», а шифры «Фронтон» и «Фронтон-3Д» могут использоваться в открытой переписке и переговорах.
Хакеры в своем «Твиттере» отмечают, что «Фронтоны» могут использоваться для «шпионажа за всем миром», видимо, отмечая, что основные объекты кибератак в данном случае — цифровые камеры. На вопросы Би-би-си они не ответили.
Би-би-си отправила запрос в пресс-службу ФСБ. Гендиректор ЗАО «ИнформИнвестГрупп» Андрей Темняков в момент подготовки материала был недоступен для комментариев.
Хакеры Digital Revolution заявили о себе в декабре 2018 года, взломав сервера, принадлежавшие, как они утверждали, еще одному подрядчику ФСБ — НИИ «Квант». Так в сеть попало описание системы, которую спецслужбы используют для мониторинга общественного мнения и поиска протестных настроений.
В июле 2019 года они опубликовали проекты очередного подрядчика ФСБ, компании «Сайтэк», посвященные деанонимизации пользователей браузера Tor, исследованию уязвимости торрентов, сбору информации о пользователях соцсетей.
«Мы будем и дальше разоблачать проекты, показывающие, как власти пытаются затолкать нас всех под колпак ФСБэшного контроля», — написали тогда «цифровые революционеры».
***