奇安信威胁情报中心发布《独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛》报告

背景

援引维基百科的解释,俄罗斯联邦安全局,简称FSB,作为克格勃的继任者,主要负责联邦安全,包括反情报,内部以及边境安全,反恐和监视,以及调查其他一些严重罪行和违反联邦法律的行为。 这也就意味着,FSB需要具备针对俄罗斯内部进行监控的力量,例如掌握全境流量的SORM项目,并且持续派遣旗下的网军针对境外敌对势力,境内反对势力进行攻击和监控,根据爱沙尼亚情报局的报告称,旗下包括著名的Turla、Cozy Bear(APT29)和近期频繁攻击的Gamaredon。 根据俄罗斯BBC的信息来源表示,FSB一般都会与多家俄罗斯企业进行合作,也就是所谓的承包商、外包公司,从而合作开发一些攻击模块,监控系统等等。 至此,就要介绍一个著名的俄罗斯黑客组织Digital Revolution(数字革命),一个以反俄罗斯联邦政府的黑客组织,其对俄罗斯的种种监控手段不满,通过入侵情报机构或者政府站点,窃取资料和数据从而公布世间。 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 该组织所有数据泄漏信息都会公开在其推特账号上,奇安信威胁情中心在该渠道获取到其发布的相关信息,经过阅读文档后,整理发布如下。 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 在历史上,数字革命总共泄露过三次FSB承包商的数据。以下信息来自开源情报。 第一家是名为Quatum的公司,他们在2018年12月从那里泄露了有关FSB的社交媒体监控项目的详细信息。 而Quatum还是Hacking Team的客户之一。 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 第二家名为SyTech的公司,该组织泄漏了有关六个FSB项目的详细信息,包括社交媒体数据收集、Tor流量去匿名化、渗透P2P网络、监控并搜索公司邮件通信、调查网络拓扑和创建封闭性内网项目 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 而第三家,就是我们今天要讲的,名为0Dday Technologies(0day)公司。 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 该组织分别在3月18号、20号泄露了两批关于FSB如何雇佣承包商,入侵并构建物联网僵尸网络的项目文件,该项目名为:Fronton,此外还有多个未曾一见的监控平台。 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 以下均为0day公司开发的系统。

Fronton项目

Fronton项目是FSB内部部门No. 64829(也称之为FSB信息安全中心)将项目承包给InformInvestGroup,紧接着该集团将项目分包给0day科技公司,后者在2019年4月被数据革命入侵。 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 根据简介,该集团中文名为通知投资集团,是俄罗斯莫斯科的电信设备供应商。并且其拥有俄罗斯联邦安全局FSB的使用国家机密信息进行工作的权利的许可证,从各方面资讯来源均可得知该集团与俄罗斯政府合作密切。 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 而Fronton目的是构建一个庞大的物联网僵尸网络。

僵尸网络构成

整个僵尸网络的构成由一份泄露的文档进行说明。 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 下图为整个僵尸网络的网络拓扑图,该僵尸网络采用了通过VPN集群和Tor节点混合的流量回传机制,并将最终的数据回连到唯一一台用于接收所有数据的主机,该主机通过VPN接入最左侧的APM服务器环境,即 Apache+PHP+MySQL。 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 我们通过对其中的文档进行分析后,发现了其中记录了整个僵尸网络中,对物联网设备的入侵方法。 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 首先,该公司获取了几个创建物联网僵尸网络的著名木马:Lizard Stresser, Mirai, Gafgyt,Lizkebab, BASHLITE, Bash0day, Bashdoor 和 Torlus,经过分析后,一番取其精华去其糟粕的操作后,保留以下模块: 1、  暴力破解模块 2、  极快速网络扫描模块: 3、  多平台载荷部署模块 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 此外,文档还提到了如何通过僵尸网络进行DDOS攻击,例如通过ns,ntp,chargen和ssdp协议。 泄露的代码截图可以对应整个系统的功能模块 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 而泄露者仅将vpn隧道创建的代码截图和一些配置代码公布出来。 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛

网络攻击部署

Fronton通过托管在VPN和代理服务器后面的APM服务器的Web面板进行管理和攻击,攻击目标为Linux系统的智能设备,安全摄像头,路由器,数字录像机(NVR)等等物联网设备。 此外Fronton规范表明,僵尸网络大约95%由互联网安全摄像头和数字录像机(NVR)这两类设备组成,因为这两类物联网设备主要会用于传输视频,这也证明他们将拥有足够大的通信渠道来有效执行DDoS攻击,利用价值更大。 当然,每个受感染的设备都会针对其他设备进行密码爆破,以使僵尸网络保持旺盛的生命力。 下面的截图即为真实系统,取自整个Fronton系统的管理员部署手册。 手册大致内容和目录如下: 1.布局的目的 2.布局架构 3.基本使用方案 1.1。添加一个新的VPN隧道 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 1.2。在配置文件生效之前添加隧道 1.3。添加密码字典 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 1.4。加载字典 1.5。创建新任务扫描 可以看到,该平台可以选择网段,或者上传需要攻击的IP地址,端口,还有需要选择的攻击用隧道 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 1.6。运行扫描查看进度 1.7。浏览发现的设备列表 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 1.8。查看已知的设备指纹清单 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 整套系统在进行交付前还需要进行整体测试,其中提到了需要保护国家秘密等信息。 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 Fronton项目和源代码中,严禁使用俄语和西里尔字母,从而试图防止被溯源。C&C服务器还需要密码保护,并关闭所有未使用的端口,以防止其他黑客接管僵尸网络的后端基础结构。

SANA项目

SANA项目是另一个0day公司与FSB合作的项目,主要针对社交媒体进行处置。 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 社交媒体爬虫功能,通过筛选关键字查看。 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 针对每个社交用户的具体活动轨迹。 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 数据革命在入侵Oday科技公司后,录屏并展示该公司的社交媒体平台SANA功能,最后发布在youtube上。主要展示该平台的高隐蔽性的注册多种社交媒体账号。 视频如下,由于视频有11分钟,我们对其中功能进行了简单介绍。需要注意的是,该系统在0day内部使用并没有打上SANA的logo,而在FSB内部使用是打上SANA logo的。并且从菜单栏来看,内部系统并没有实际交付给FSB的系统复杂。

首先该平台可以新建一个虚拟机,自定义挑选版本,用途可选择Facebook 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 然后点击确定后,就可以自动生成一个ID,可以选择给ID重命名操作。 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 再确定后,就会跳到用户资料设置的位置,并且虚拟机也会开启,而这一步就是注册过程,在其平台上,拥有一个手机号自动发码的功能,如果需要注册Facebook账号,那么直接填写完信息后,点击右上角的SMS即可发码注册。 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 接着,就可以使用注册的Facebook账号,就在当前平台搜索Facebook的信息,该做法以防留下真实访问痕迹,可见,搜索结果一模一样。 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 数字革命拖下两名Facebook账号的发言记录,可以看出网军通过该平台可以实施”水军”攻击。 一、祖国之光。 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 二、松鼠 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 除了Facebook外,该系统也支持俄罗斯版“facebook”——VK。 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 而且从其他泄露文档可以看到,在0day的其他监视平台中,VK用户被单独进行社交关系分析。 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 社交关系关联,不难发现系统UI框架与Fronton的框架保持一致性。 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛

 

0Control监视平台

除了上面提及到的攻击平台,该公司还有主要面向移动端的监视平台,监视项包括近期通话记录,当前定位,手机执行操作,文件管理,联系人等等。适配平台有IOS平台,IPAD系统,Android系统。 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 查看每台移动设备当前状态 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛 安装APP情况 独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛

总结

综上所述,这家名为0day的俄罗斯科技公司,实际上就是一家专门开发网络武器的公司,据称其开发的系统售卖给俄罗斯联邦政府从而盈利,大部分为定制化开发。 实际上,根据公开新闻报道,俄罗斯网军一直有入侵物联网设备的历史,微软在2019年8月表示,它已经观察到俄罗斯一个由国家资助的精英黑客组织之一,其入侵IoT设备是为了获得对更重要目标的内部网络的访问权限。 此外,俄罗斯联邦军队总参谋部情报总局(格鲁乌GRU)旗下的APT28此前就有构建并运行名为VPNFilter的IOT僵尸网络,美国FBI在2018年将该僵尸网络成功破坏。而由于两个部门构建的僵尸网络区别过大,因此可以初步判断Fronton和VPNFilter并没有关系。 但是,从总体网络作战战略上来看,这已经充分证明如今的网军攻击的趋势:一、利用僵尸网络,二、利用物联网。 而前者就有朝鲜的Lazarus网军向TrickBot僵尸网络租用C2回连服务器资源的案例,而两者结合起来,便是俄罗斯的这种,通过入侵安全性不高的IOT物联网设备,将目标家里的智能家电,路由器,摄像头等等,都感染木马成为僵尸主机,从而构建一张不容易被破坏,并且反溯源能力极强的僵尸网络。 奇安信威胁情报中心认为,当这类僵尸网络被国家级网军利用,即可达成收集海量数据的目的,并且可以做到实施流量劫持,进一步向目标的电脑实施攻击,这给如今5G物联网的普及,万物互联时代的开启敲响警钟。保障物联网设备的安全性,同样也是保障国家网络基础设施的安全性,务必加以重视。 最后,由于Fronton项目的攻击平台原理,与Mirai等大型僵尸网络的构成类似,因此,我们可以经常性对网络下的物联网节点进行安全性扫描并进行加固,可以有效防止相关攻击。 参考链接: [1]黑客团队推特: https://twitter.com/D1G1R3V [2]黑客团队官网: http://www.d1g1r3v.net/ [3]维基百科关于FSB的解释 https://en.wikipedia.org/wiki/Federal_Security_Service [4]演示视频链接 https://www.youtube.com/watch?v=wGTSD91n5Ps

0 0 vote
Article Rating

未经允许不得转载:x-sec » 奇安信威胁情报中心发布《独家:关于俄罗斯联邦安全局FSB承包商0day公司的秘辛》报告

赞 (0) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x