独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 – 作者:奇安信威胁情报中心

背景

 

援引****的解释,俄罗斯联邦安全局,简称FSB,作为克格勃的继任者,主要负责联邦安全,包括反情报,内部以及边境安全,反恐和监视,以及调查其他一些严重罪行和违反联邦法律的行为。

 

这也就意味着,FSB需要具备针对俄罗斯内部进行监控的力量,例如掌握全境流量的SORM项目,并且持续派遣旗下的网军针对境外敌对势力,境内反对势力进行攻击和监控,根据爱沙尼亚情报局的报告称,旗下包括著名的Turla、Cozy Bear(APT29)和近期频繁攻击的Gamaredon。

 

根据俄罗斯BBC的信息来源表示,FSB一般都会与多家俄罗斯企业进行合作,也就是所谓的承包商、外包公司,从而合作开发一些攻击模块,监控系统等等。

 

至此,就要介绍一个著名的俄罗斯黑客组织Digital Revolution(数字革命),一个以反俄罗斯联邦政府的黑客组织,其对俄罗斯的种种监控手段不满,通过入侵情报机构或者政府站点,窃取资料和数据从而公布世间。

 图片.png

黑客组织官网

 

该组织所有数据泄漏信息都会公开在其推特账号上,奇安信威胁情中心在该渠道获取到其发布的相关信息,经过阅读文档后,整理发布如下。

 图片.png

黑客组织推特

 

在历史上,数字革命总共泄露过三次FSB承包商的数据。以下信息来自开源情报。

 

第一家是名为Quatum的公司,他们在2018年12月从那里泄露了有关FSB的社交媒体监控项目的详细信息。

而Quatum还是Hacking Team的客户之一。

图片.png

 

第二家名为SyTech的公司,该组织泄漏了有关六个FSB项目的详细信息,包括社交媒体数据收集、Tor流量去匿名化、渗透P2P网络、监控并搜索公司邮件通信、调查网络拓扑和创建封闭性内网项目

图片.png

而第三家,就是我们今天要讲的,名为0Dday Technologies(0day)公司。

 图片.png

该组织分别在3月18号、20号泄露了两批关于FSB如何雇佣承包商,入侵并构建物联网僵尸网络的项目文件,该项目名为:Fronton,此外还有多个未曾一见的监控平台。

图片.png

以下均为从该黑客团伙泄露的资料中,整理发现的成果,信息来源渠道完全公开。

 

Fronton项目

 

Fronton项目是FSB内部部门No. 64829(也称之为FSB信息安全中心)将项目承包给InformInvestGroup,紧接着该集团将项目分包给0day科技公司,后者在2019年4月被数据革命入侵。

 图片.png

根据简介,该集团中文名为通知投资集团,是俄罗斯莫斯科的电信设备供应商。并且其拥有俄罗斯联邦安全局FSB的使用国家机密信息进行工作的权利的许可证,从各方面资讯来源均可得知该集团与俄罗斯政府合作密切。

 图片.png

 

而Fronton目的是构建一个庞大的物联网僵尸网络。

僵尸网络构成

整个僵尸网络的构成由一份泄露的文档进行说明。

图片.png

下图为整个僵尸网络的网络拓扑图,该僵尸网络采用了通过VPN集群和Tor节点混合的流量回传机制,并将最终的数据回连到唯一一台用于接收所有数据的主机,该主机通过VPN接入最左侧的APM服务器环境,即 Apache+PHP+MySQL。

图片.png

我们通过对其中的文档进行分析后,发现了其中记录了整个僵尸网络中,对物联网设备的入侵方法。

图片.png

首先,该公司获取了几个创建物联网僵尸网络的著名木马:Lizard Stresser, Mirai, Gafgyt,Lizkebab, BASHLITE, Bash0day, Bashdoor 和 Torlus,经过分析后,一番取其精华去其糟粕的操作后,保留以下模块:

 

1、  暴力破解模块

2、  极快速网络扫描模块:

3、  多平台载荷部署模块

 图片.png

此外,文档还提到了如何通过僵尸网络进行DDOS攻击,例如通过ns,ntp,chargen和ssdp协议。

 

泄露的代码截图可以对应整个系统的功能模块

图片.png

而泄露者仅将vpn隧道创建的代码截图和一些配置代码公布出来。

图片.png

图片.png

 

网络攻击部署

 

Fronton通过托管在VPN和代理服务器后面的APM服务器的Web面板进行管理和攻击,攻击目标为Linux系统的智能设备,安全摄像头,路由器,数字录像机(NVR)等等物联网设备。

 

此外Fronton规范表明,僵尸网络大约95%由互联网安全摄像头和数字录像机(NVR)这两类设备组成,因为这两类物联网设备主要会用于传输视频,这也证明他们将拥有足够大的通信渠道来有效执行DDoS攻击,利用价值更大。

 

当然,每个受感染的设备都会针对其他设备进行密码爆破,以使僵尸网络保持旺盛的生命力。

下面的截图即为真实系统,取自整个Fronton系统的管理员部署手册。

 

手册大致内容和目录如下:

1.布局的目的

2.布局架构

3.基本使用方案

1.1。添加一个新的VPN隧道

图片.png

 

1.2。在配置文件生效之前添加隧道

1.3。添加密码字典

 图片.png

1.4。加载字典

1.5。创建新任务扫描

可以看到,该平台可以选择网段,或者上传需要攻击的IP地址,端口,还有需要选择的攻击用隧道

图片.png

1.6。运行扫描查看进度

1.7。浏览发现的设备列表

图片.png

1.8。查看已知的设备指纹清单

 图片.png

整套系统在进行交付前还需要进行整体测试,其中提到了需要保护国家秘密等信息。

图片.png

 

Fronton项目和源代码中,严禁使用俄语和西里尔字母,从而试图防止被溯源。C&C服务器还需要密码保护,并关闭所有未使用的端口,以防止其他黑客接管僵尸网络的后端基础结构。

 

SANA项目

 

SANA项目是另一个0day公司与FSB合作的项目,主要针对社交媒体进行处置。

图片.png

 

社交媒体爬虫功能,通过筛选关键字查看。

图片.png

针对每个社交用户的具体活动轨迹。

图片.png

 

数据革命在入侵Oday科技公司后,录屏并展示该公司的社交媒体平台SANA功能,最后发布在*******上。主要展示该平台的高隐蔽性的注册多种社交媒体账号。

 

视频如下,由于视频有11分钟,我们对其中功能进行了简单介绍。需要注意的是,该系统在0day内部使用并没有打上SANA的logo,而在FSB内部使用是打上SANA logo的。并且从菜单栏来看,内部系统并没有实际交付给FSB的系统复杂。

图片.png

 

首先该平台可以新建一个虚拟机,自定义挑选版本,用途可选择Facebook

 图片.png

 

然后点击确定后,就可以自动生成一个ID,可以选择给ID重命名操作。

图片.png

 

再确定后,就会跳到用户资料设置的位置,并且虚拟机也会开启,而这一步就是注册过程,在其平台上,拥有一个手机号自动发码的功能,如果需要注册Facebook账号,那么直接填写完信息后,点击右上角的SMS即可发码注册。

图片.png

 

接着,就可以使用注册的Facebook账号,就在当前平台搜索Facebook的信息,该做法以防留下真实访问痕迹,可见,搜索结果一模一样。

图片.png

 

数字革命拖下两名Facebook账号的发言记录,可以看出网军通过该平台可以实施”水军”攻击。

 

一、祖国之光。

 图片.png

 

二、松鼠

图片.png

 

除了Facebook外,该系统也支持俄罗斯版“facebook”—— VK。

图片.png图片.png

而且从其他泄露文档可以看到,在0day的其他监视平台中,VK用户被单独进行社交关系分析。

图片.png

 

社交关系关联,不难发现系统UI框架与Fronton的框架保持一致性。

图片.png

0Control监视平台

 

除了上面提及到的攻击平台,该公司还有主要面向移动端的监视平台,监视项包括近期通话记录,当前定位,手机执行操作,文件管理,联系人等等。适配平台有IOS平台,IPAD系统,Android系统。

 图片.png

 

查看每台移动设备当前状态

图片.png

安装APP情况

图片.png

 

总结

 

综上所述,这家名为0day的俄罗斯科技公司,实际上就是一家专门开发网络武器的公司,据称其开发的系统售卖给俄罗斯联邦政府从而盈利,大部分为定制化开发。

 

实际上,根据公开新闻报道,俄罗斯网军一直有入侵物联网设备的历史,微软在2019年8月表示,它已经观察到俄罗斯一个由国家资助的精英黑客组织之一,其入侵IoT设备是为了获得对更重要目标的内部网络的访问权限。

 

此外,俄罗斯联邦军队总参谋部情报总局(格鲁乌GRU)旗下的APT28此前就有构建并运行名为VPNFilter的 IOT僵尸网络,美国FBI在2018年将该僵尸网络成功破坏。而由于两个部门构建的僵尸网络区别过大,因此可以初步判断Fronton和VPNFilter并没有关系。

 

但是,从总体网络作战战略上来看,这已经充分证明如今的网军攻击的趋势:一、利用僵尸网络,二、利用物联网。

 

而前者就有朝鲜的Lazarus网军向TrickBot僵尸网络租用C2回连服务器资源的案例,而两者结合起来,便是俄罗斯的这种,通过入侵安全性不高的IOT物联网设备,将目标家里的智能家电,路由器,摄像头等等,都感染木马成为僵尸主机,从而构建一张不容易被破坏,并且反溯源能力极强的僵尸网络。

 

奇安信威胁情报中心认为,当这类僵尸网络被国家级网军利用,即可达成收集海量数据的目的,并且可以做到实施流量劫持,进一步向目标的电脑实施攻击,这给如今5G物联网的普及,万物互联时代的开启敲响警钟。保障物联网设备的安全性,同样也是保障国家网络基础设施的安全性,务必加以重视。

 

最后,由于Fronton项目的攻击平台原理,与Mirai等大型僵尸网络的构成类似,因此,我们可以经常性对网络下的物联网节点进行安全性扫描并进行加固,可以有效防止相关攻击。

 

 

参考链接:

 

[1]黑客团队推特:
https://twitter.com/D1G1R3V

[2]黑客团队官网:

http://www.d1g1r3v.net/

[3]****关于FSB的解释

https://en.*********.org/wiki/Federal_Security_Service

[4]演示视频链接

https://www.*******.com/watch?v=wGTSD91n5Ps

来源:freebuf.com 2020-03-24 16:53:37 by: 奇安信威胁情报中心

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论