Известная взломами предполагаемых подрядчиков ФСБ хакерская группа Digital Revolution рассказала о новом оружии, заказанном спецслужбой.
Техническую документацию "Фронтонов" хакеры опубликовали в среду, 18 марта, пишет Цензор.НЕТ со ссылкой на Русскую службу BBC. По данным Digital Revolution, существуют разные версии программы — "Фронтон", "Фронтон-3Д" и "Фронтон-18". Все они позволяют заражать "умные" устройства (от цифровых ассистентов до целых "умных" домов), объединять их в сеть и "обваливать" сервера, отвечающие за устойчивость работы крупных интернет-сервисов и интернета в целых странах.
Опубликованный 18 марта Digital Revolution слив состоит из 12 технических документов, схем и фрагментов кода, созданных в 2017-2018 годах. В одном из документов указано, что документация "имеет гриф несекретно", а шифры "Фронтон" и "Фронтон-3Д" могут использоваться в открытой переписке и переговорах.
Судя по опубликованным документам, в разработке кибероружия, вероятно, могла участвовать московская компания 0day (ООО "0ДТ") — хакеры Digital Revolution утверждали, что взломали ее еще в апреле 2019 года. Представители компании тогда отказались от комментариев "Би-би-си".
Один из документов — "макет опытно-конструкторской работы", который, если верить утечке, якобы готовила ЗАО "ИнформИнвестГрупп" по заказу войсковой части № 64829, более известной как Центр информационной безопасности ФСБ.
"Интернет вещей менее защищен, в отличие от мобильных устройств и серверов", — с этой фразы начинается небольшой документ под названием "Обзор". В частности, многие пользователи используют "умные" устройства прямо "из коробки", не меняя стандартные заводские логины и пароли, что делает их доступными мишенями для хакеров.
В 2020 году к интернету вещей будет подключено более 20 млрд устройств, прогнозирует агентство Gartner. В опубликованных документах подрядчики ФСБ ссылаются на опыт Mirai — самой крупной сети зараженных IoT-устройств, которая насчитывала 600 тыс. ботов. В 2016 году она вывела из строя DNS-серверы американской компании Dyn: интернет-сервисы использовали их для обновления информации в режиме реального времени.
В результате атаки на сроки от нескольких минут до нескольких часов оказались недоступны сайт "Би-би-си", платежная система PayPal, соцсеть "Твиттер", поставщик фильмов и сериалов Netflix и еще около 70 популярных сервисов.
Тогда в качестве зараженных "зомби", массово отправлявших запросы на эти сервера, организаторы атаки использовали не обычные в таких случаях компьютеры, а принтеры, детские мониторы и IoT-роутеры.
Но в документах предлагается заражать другие объекты: на 95% "ботнет" должен состоять из IP-камер и цифровых видеорекордеров — "если они передают видео, то имеют достаточно большой канал связи, чтобы эффективно совершать DDoS" (именно такой вид хакерских атак использовался Mirai в 2016 году).
Находить мишени для взлома должен специальный "сервер поиска". Подключаться к нему можно через виртуальную частную сеть или браузер Tor; они запутывают соединение таким образом, чтобы нельзя было выйти на конечного пользователя.
Вычислить, где именно расположены хакеры, будет очень сложно — этому помешает сложная система виртуальных частных сетей.
В документации продуманы средства, чтобы тщательно скрывать следы. "Исключено использование русского языка и связной кириллицы, для доступа к серверу требуется авторизация, закрыты неиспользуемые порты", — говорится в макете "Фронтонов".
Взламывать устройства предлагается с помощью словаря типичных паролей от IoT-устройств. В отличие от Lizard Stresser — еще одного "ботнета", состоявшего из 120 тыс. зараженных устройств — словарь паролей "не захардкожен" (цитата из документации), то есть его можно редактировать, подстраивая свой словарь под конкретные мишени.
"Сканирование сети происходит самими зараженными машинами, — говорится в "Обзоре". — Таким образом рост заражения происходит в геометрической прогрессии. При достижении определенного количества машин (несколько десятков тысяч) для диапазона адресов IPv4 становится возможным полный поиск всех адресов".
IPv4 — самая распространенная версия протокола передачи данных в интернете, используемая большинством компьютеров и гаджетов. В ней насчитывается более 4 млрд сетевых адресов.
"Мощная атака нескольких сотен тысяч машин способна сделать сайты социальных сетей, файлообменников недоступными в течение нескольких часов. Атака на национальные DNS-сервера может сделать недоступным интернет в течение нескольких часов в небольшой стране", — говорится в опубликованных хакерами документах.
Источник: censor.net.ua
