独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛

iso60001  188天前

背景

援引维基百科的解释,俄罗斯联邦安全局,简称FSB,作为克格勃的继任者,主要负责联邦安全,包括反情报,内部以及边境安全,反恐和监视,以及调查其他一些严重罪行和违反联邦法律的行为。

 

这也就意味着,FSB需要具备针对俄罗斯内部进行监控的力量,例如掌握全境流量的SORM项目,并且持续派遣旗下的网军针对境外敌对势力,境内反对势力进行攻击和监控,根据爱沙尼亚情报局的报告称,旗下包括著名的TurlaCozy Bear(APT29)和近期频繁攻击的Gamaredon

 

根据俄罗斯BBC的信息来源表示FSB一般都会与多家俄罗斯企业进行合作,也就是所谓的承包商、外包公司,从而合作开发一些攻击模块,监控系统等等。

 

至此,就要介绍一个著名的俄罗斯黑客组织Digital Revolution(数字革命),一个以反俄罗斯联邦政府的黑客组织,其对俄罗斯的种种监控手段不满,通过入侵情报机构或者政府站点,窃取资料和数据从而公布世间。

111.png


该组织所有数据泄漏信息都会公开在其推特账号上,奇安信威胁情中心在该渠道获取到其发布的相关信息,经过阅读文档后,整理发布如下。

222.png


在历史上,数字革命总共泄露过三次FSB承包商的数据。以下信息来自开源情报。

 

第一家是名为Quatum的公司,他们在201812月从那里泄露了有关FSB的社交媒体监控项目的详细信息。

Quatum还是Hacking Team的客户之一。

22222.png


第二家名为SyTech的公司,该组织泄漏了有关六个FSB项目的详细信息,包括社交媒体数据收集、Tor流量去匿名化、渗透P2P网络、监控并搜索公司邮件通信、调查网络拓扑和创建封闭性内网项目

333.png


而第三家,就是我们今天要讲的,名为0Dday Technologies0day)公司。

444.png


该组织分别在318号、20号泄露了两批关于FSB如何雇佣承包商,入侵并构建物联网僵尸网络的项目文件,该项目名为:Fronton,此外还有多个未曾一见的监控平台。

555.png

以下均为0day公司开发的系统。

 

Fronton项目


Fronton项目是FSB内部部门No.64829(也称之为FSB信息安全中心)将项目承包给InformInvestGroup,紧接着该集团将项目分包给0day科技公司,后者在20194月被数据革命入侵。


666.png

 

根据简介,该集团中文名为通知投资集团,是俄罗斯莫斯科的电信设备供应商。并且其拥有俄罗斯联邦安全局FSB的使用国家机密信息进行工作的权利的许可证,从各方面资讯来源均可得知该集团与俄罗斯政府合作密切。

777.png



Fronton目的是构建一个庞大的物联网僵尸网络。


僵尸网络构成


整个僵尸网络的构成由一份泄露的文档进行说明。


888.png



下图为整个僵尸网络的网络拓扑图,该僵尸网络采用了通过VPN集群和Tor节点混合的流量回传机制,并将最终的数据回连到唯一一台用于接收所有数据的主机,该主机通过VPN接入最左侧的APM服务器环境,即 Apache+PHP+MySQL

999.png


我们通过对其中的文档进行分析后,发现了其中记录了整个僵尸网络中,对物联网设备的入侵方法。

1000.png

首先,该公司获取了几个创建物联网僵尸网络的著名木马:Lizard Stresser, Mirai, Gafgyt,Lizkebab, BASHLITE, Bash0day, Bashdoor  Torlus,经过分析后,一番取其精华去其糟粕的操作后,保留以下模块:

1、  暴力破解模块

2、  极快速网络扫描模块

3、  多平台载荷部署模块


1100.png


此外,文档还提到了如何通过僵尸网络进行DDOS攻击,例如通过nsntpchargenssdp协议。

 

泄露的代码截图可以对应整个系统的功能模块


1200.png

而泄露者仅将vpn隧道创建的代码截图和一些配置代码公布出来。


aa.png

bb.png


 

网络攻击部署

Fronton通过托管在VPN和代理服务器后面的APM服务器的Web面板进行管理和攻击,攻击目标为Linux系统的智能设备,安全摄像头,路由器,数字录像机(NVR)等等物联网设备。

 

此外Fronton规范表明,僵尸网络大约95%由互联网安全摄像头和数字录像机(NVR)这两类设备组成,因为这两类物联网设备主要会用于传输视频,这也证明他们将拥有足够大的通信渠道来有效执行DDoS攻击,利用价值更大。

 

当然,每个受感染的设备都会针对其他设备进行密码爆破,以使僵尸网络保持旺盛的生命力。

下面的截图即为真实系统,取自整个Fronton系统的管理员部署手册。

 

手册大致内容和目录如下:

1.布局的目的

2.布局架构

3.基本使用方案

1.1。添加一个新的VPN隧道


cc.png

 

1.2。在配置文件生效之前添加隧道

1.3。添加密码字典


dd.png

1.4。加载字典

1.5。创建新任务扫描

可以看到,该平台可以选择网段,或者上传需要攻击的IP地址,端口,还有需要选择的攻击用隧道


ee.png

1.6。运行扫描查看进度

1.7。浏览发现的设备列表


ff.png


1.8。查看已知的设备指纹清单


gg.png

整套系统在进行交付前还需要进行整体测试,其中提到了需要保护国家秘密等信息。


hh.png

 

Fronton项目和源代码中,严禁使用俄语和西里尔字母,从而试图防止被溯源。CC服务器还需要密码保护,并关闭所有未使用的端口,以防止其他黑客接管僵尸网络的后端基础结构。

 

SANA项目

SANA项目是另一个0day公司与FSB合作的项目,主要针对社交媒体进行处置。


ii.png

 

社交媒体爬虫功能,通过筛选关键字查看。


jj.png


针对每个社交用户的具体活动轨迹。


kk.png

 

数据革命在入侵Oday科技公司后,录屏并展示该公司的社交媒体平台SANA功能,最后发布在youtube上。主要展示该平台的高隐蔽性的注册多种社交媒体账号。

 

视频如下,由于视频有11分钟,我们对其中功能进行了简单介绍。需要注意的是,该系统在0day内部使用并没有打上SANAlogo,而在FSB内部使用是打上SANA logo的。并且从菜单栏来看,内部系统并没有实际交付给FSB的系统复杂。

 

首先该平台可以新建一个虚拟机,自定义挑选版本,用途可选择Facebook


ll.png

 

然后点击确定后,就可以自动生成一个ID,可以选择给ID重命名操作。


mm.png

 

再确定后,就会跳到用户资料设置的位置,并且虚拟机也会开启,而这一步就是注册过程,在其平台上,拥有一个手机号自动发码的功能,如果需要注册Facebook账号,那么直接填写完信息后,点击右上角的SMS即可发码注册。


nn.png

 

接着,就可以使用注册的Facebook账号,就在当前平台搜索Facebook的信息,该做法以防留下真实访问痕迹,可见,搜索结果一模一样。


oo.png

 

数字革命拖下两名Facebook账号的发言记录,可以看出网军通过该平台可以实施水军攻击。


一、祖国之光。


pp.png

二、松鼠


qq.png

 

除了Facebook外,该系统也支持俄罗斯版“facebook”——VK


rr.png


asadas.png


【不支持外链图片,请上传图片或单独粘贴图片】

而且从其他泄露文档可以看到,在0day的其他监视平台中,VK用户被单独进行社交关系分析。


ss.png

 

社交关系关联,不难发现系统UI框架与Fronton的框架保持一致性。


tt.png


0Control监视平台

除了上面提及到的攻击平台,该公司还有主要面向移动端的监视平台,监视项包括近期通话记录,当前定位,手机执行操作,文件管理,联系人等等。适配平台有IOS平台,IPAD系统,Android系统。


uu.png

查看每台移动设备当前状态


vv.png


安装APP情况


ww.png

 

总结

综上所述,这家名为0day的俄罗斯科技公司,实际上就是一家专门开发网络武器的公司,据称其开发的系统售卖给俄罗斯联邦政府从而盈利,大部分为定制化开发。

 

实际上,根据公开新闻报道,俄罗斯网军一直有入侵物联网设备的历史,微软在20198月表示,它已经观察到俄罗斯一个由国家资助的精英黑客组织之一,其入侵IoT设备是为了获得对更重要目标的内部网络的访问权限。

 

此外,俄罗斯联邦军队总参谋部情报总局(格鲁乌GRU)旗下的APT28此前就有构建并运行名为VPNFilterIOT僵尸网络,美国FBI2018年将该僵尸网络成功破坏。而由于两个部门构建的僵尸网络区别过大,因此可以初步判断FrontonVPNFilter并没有关系。

 

但是,从总体网络作战战略上来看,这已经充分证明如今的网军攻击的趋势:一、利用僵尸网络,二、利用物联网。

 

而前者就有朝鲜的Lazarus网军向TrickBot僵尸网络租用C2回连服务器资源的案例,而两者结合起来,便是俄罗斯的这种,通过入侵安全性不高的IOT物联网设备,将目标家里的智能家电,路由器,摄像头等等,都感染木马成为僵尸主机,从而构建一张不容易被破坏,并且反溯源能力极强的僵尸网络。

 

奇安信威胁情报中心认为,当这类僵尸网络被国家级网军利用,即可达成收集海量数据的目的,并且可以做到实施流量劫持,进一步向目标的电脑实施攻击,这给如今5G物联网的普及,万物互联时代的开启敲响警钟。保障物联网设备的安全性,同样也是保障国家网络基础设施的安全性,务必加以重视。

最后,由于Fronton项目的攻击平台原理,与Mirai等大型僵尸网络的构成类似,因此,我们可以经常性对网络下的物联网节点进行安全性扫描并进行加固,可以有效防止相关攻击。


参考链接:


[1]黑客团队推特:

https://twitter.com/D1G1R3V

[2]黑客团队官网:

http://www.d1g1r3v.net/

[3]维基百科关于FSB的解释

https://en.wikipedia.org/wiki/Federal_Security_Service

[4]演示视频链接

https://www.youtube.com/watch?v=wGTSD91n5Ps


◆来源:奇安信威胁情报中心

◆本文版权归原作者所有,如有侵权请联系我们及时删除

最新评论

昵称
邮箱
提交评论