独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛
iso60001 1493天前背景
援引维基百科的解释,俄罗斯联邦安全局,简称FSB,作为克格勃的继任者,主要负责联邦安全,包括反情报,内部以及边境安全,反恐和监视,以及调查其他一些严重罪行和违反联邦法律的行为。
这也就意味着,FSB需要具备针对俄罗斯内部进行监控的力量,例如掌握全境流量的SORM项目,并且持续派遣旗下的网军针对境外敌对势力,境内反对势力进行攻击和监控,根据爱沙尼亚情报局的报告称,旗下包括著名的Turla、Cozy Bear(APT29)和近期频繁攻击的Gamaredon。
根据俄罗斯BBC的信息来源表示,FSB一般都会与多家俄罗斯企业进行合作,也就是所谓的承包商、外包公司,从而合作开发一些攻击模块,监控系统等等。
至此,就要介绍一个著名的俄罗斯黑客组织Digital Revolution(数字革命),一个以反俄罗斯联邦政府的黑客组织,其对俄罗斯的种种监控手段不满,通过入侵情报机构或者政府站点,窃取资料和数据从而公布世间。
该组织所有数据泄漏信息都会公开在其推特账号上,奇安信威胁情中心在该渠道获取到其发布的相关信息,经过阅读文档后,整理发布如下。
在历史上,数字革命总共泄露过三次FSB承包商的数据。以下信息来自开源情报。
第一家是名为Quatum的公司,他们在2018年12月从那里泄露了有关FSB的社交媒体监控项目的详细信息。
而Quatum还是Hacking Team的客户之一。
第二家名为SyTech的公司,该组织泄漏了有关六个FSB项目的详细信息,包括社交媒体数据收集、Tor流量去匿名化、渗透P2P网络、监控并搜索公司邮件通信、调查网络拓扑和创建封闭性内网项目
而第三家,就是我们今天要讲的,名为0Dday Technologies(0day)公司。
该组织分别在3月18号、20号泄露了两批关于FSB如何雇佣承包商,入侵并构建物联网僵尸网络的项目文件,该项目名为:Fronton,此外还有多个未曾一见的监控平台。
以下均为0day公司开发的系统。
Fronton项目
Fronton项目是FSB内部部门No.64829(也称之为FSB信息安全中心)将项目承包给InformInvestGroup,紧接着该集团将项目分包给0day科技公司,后者在2019年4月被数据革命入侵。
根据简介,该集团中文名为通知投资集团,是俄罗斯莫斯科的电信设备供应商。并且其拥有俄罗斯联邦安全局FSB的使用国家机密信息进行工作的权利的许可证,从各方面资讯来源均可得知该集团与俄罗斯政府合作密切。
而Fronton目的是构建一个庞大的物联网僵尸网络。
僵尸网络构成
整个僵尸网络的构成由一份泄露的文档进行说明。
下图为整个僵尸网络的网络拓扑图,该僵尸网络采用了通过VPN集群和Tor节点混合的流量回传机制,并将最终的数据回连到唯一一台用于接收所有数据的主机,该主机通过VPN接入最左侧的APM服务器环境,即 Apache+PHP+MySQL。
我们通过对其中的文档进行分析后,发现了其中记录了整个僵尸网络中,对物联网设备的入侵方法。
首先,该公司获取了几个创建物联网僵尸网络的著名木马:Lizard Stresser, Mirai, Gafgyt,Lizkebab, BASHLITE, Bash0day, Bashdoor 和 Torlus,经过分析后,一番取其精华去其糟粕的操作后,保留以下模块:
1、 暴力破解模块
2、 极快速网络扫描模块
3、 多平台载荷部署模块
此外,文档还提到了如何通过僵尸网络进行DDOS攻击,例如通过ns,ntp,chargen和ssdp协议。
泄露的代码截图可以对应整个系统的功能模块
而泄露者仅将vpn隧道创建的代码截图和一些配置代码公布出来。
网络攻击部署
Fronton通过托管在VPN和代理服务器后面的APM服务器的Web面板进行管理和攻击,攻击目标为Linux系统的智能设备,安全摄像头,路由器,数字录像机(NVR)等等物联网设备。
此外Fronton规范表明,僵尸网络大约95%由互联网安全摄像头和数字录像机(NVR)这两类设备组成,因为这两类物联网设备主要会用于传输视频,这也证明他们将拥有足够大的通信渠道来有效执行DDoS攻击,利用价值更大。
当然,每个受感染的设备都会针对其他设备进行密码爆破,以使僵尸网络保持旺盛的生命力。
下面的截图即为真实系统,取自整个Fronton系统的管理员部署手册。
手册大致内容和目录如下:
1.布局的目的
2.布局架构
3.基本使用方案
1.1。添加一个新的VPN隧道
1.2。在配置文件生效之前添加隧道
1.3。添加密码字典
1.4。加载字典
1.5。创建新任务扫描
可以看到,该平台可以选择网段,或者上传需要攻击的IP地址,端口,还有需要选择的攻击用隧道
1.6。运行扫描查看进度
1.7。浏览发现的设备列表
1.8。查看已知的设备指纹清单
整套系统在进行交付前还需要进行整体测试,其中提到了需要保护国家秘密等信息。
Fronton项目和源代码中,严禁使用俄语和西里尔字母,从而试图防止被溯源。C&C服务器还需要密码保护,并关闭所有未使用的端口,以防止其他黑客接管僵尸网络的后端基础结构。
SANA项目
SANA项目是另一个0day公司与FSB合作的项目,主要针对社交媒体进行处置。
社交媒体爬虫功能,通过筛选关键字查看。
针对每个社交用户的具体活动轨迹。
数据革命在入侵Oday科技公司后,录屏并展示该公司的社交媒体平台SANA功能,最后发布在youtube上。主要展示该平台的高隐蔽性的注册多种社交媒体账号。
视频如下,由于视频有11分钟,我们对其中功能进行了简单介绍。需要注意的是,该系统在0day内部使用并没有打上SANA的logo,而在FSB内部使用是打上SANA logo的。并且从菜单栏来看,内部系统并没有实际交付给FSB的系统复杂。
首先该平台可以新建一个虚拟机,自定义挑选版本,用途可选择Facebook
然后点击确定后,就可以自动生成一个ID,可以选择给ID重命名操作。
再确定后,就会跳到用户资料设置的位置,并且虚拟机也会开启,而这一步就是注册过程,在其平台上,拥有一个手机号自动发码的功能,如果需要注册Facebook账号,那么直接填写完信息后,点击右上角的SMS即可发码注册。
接着,就可以使用注册的Facebook账号,就在当前平台搜索Facebook的信息,该做法以防留下真实访问痕迹,可见,搜索结果一模一样。
数字革命拖下两名Facebook账号的发言记录,可以看出网军通过该平台可以实施”水军”攻击。
一、祖国之光。
二、松鼠
除了Facebook外,该系统也支持俄罗斯版“facebook”——VK。
【不支持外链图片,请上传图片或单独粘贴图片】
而且从其他泄露文档可以看到,在0day的其他监视平台中,VK用户被单独进行社交关系分析。
社交关系关联,不难发现系统UI框架与Fronton的框架保持一致性。
0Control监视平台
除了上面提及到的攻击平台,该公司还有主要面向移动端的监视平台,监视项包括近期通话记录,当前定位,手机执行操作,文件管理,联系人等等。适配平台有IOS平台,IPAD系统,Android系统。
查看每台移动设备当前状态
安装APP情况
总结
综上所述,这家名为0day的俄罗斯科技公司,实际上就是一家专门开发网络武器的公司,据称其开发的系统售卖给俄罗斯联邦政府从而盈利,大部分为定制化开发。
实际上,根据公开新闻报道,俄罗斯网军一直有入侵物联网设备的历史,微软在2019年8月表示,它已经观察到俄罗斯一个由国家资助的精英黑客组织之一,其入侵IoT设备是为了获得对更重要目标的内部网络的访问权限。
此外,俄罗斯联邦军队总参谋部情报总局(格鲁乌GRU)旗下的APT28此前就有构建并运行名为VPNFilter的IOT僵尸网络,美国FBI在2018年将该僵尸网络成功破坏。而由于两个部门构建的僵尸网络区别过大,因此可以初步判断Fronton和VPNFilter并没有关系。
但是,从总体网络作战战略上来看,这已经充分证明如今的网军攻击的趋势:一、利用僵尸网络,二、利用物联网。
而前者就有朝鲜的Lazarus网军向TrickBot僵尸网络租用C2回连服务器资源的案例,而两者结合起来,便是俄罗斯的这种,通过入侵安全性不高的IOT物联网设备,将目标家里的智能家电,路由器,摄像头等等,都感染木马成为僵尸主机,从而构建一张不容易被破坏,并且反溯源能力极强的僵尸网络。
奇安信威胁情报中心认为,当这类僵尸网络被国家级网军利用,即可达成收集海量数据的目的,并且可以做到实施流量劫持,进一步向目标的电脑实施攻击,这给如今5G物联网的普及,万物互联时代的开启敲响警钟。保障物联网设备的安全性,同样也是保障国家网络基础设施的安全性,务必加以重视。
最后,由于Fronton项目的攻击平台原理,与Mirai等大型僵尸网络的构成类似,因此,我们可以经常性对网络下的物联网节点进行安全性扫描并进行加固,可以有效防止相关攻击。
参考链接:
[1]黑客团队推特:
[2]黑客团队官网:
[3]维基百科关于FSB的解释
https://en.wikipedia.org/wiki/Federal_Security_Service
[4]演示视频链接
https://www.youtube.com/watch?v=wGTSD91n5Ps
◆来源:奇安信威胁情报中心
◆本文版权归原作者所有,如有侵权请联系我们及时删除
最新评论