天创培训:您身边的信息安全培训专家!
行业动态
第三次被黑!疑似俄罗斯情报机构物联网攻击计划泄露

黑客组织“数字革命”曝光疑似俄罗斯联邦安全局物联网僵尸网络计划Fronton,这是该组织第三次侵入该机构承包商。

黑客组织“数字革命”曝光俄罗斯联邦安全局物联网僵尸网络计划Fronton

编者按:美国ZDNet网站3月20日报道称,俄罗斯黑客组织“数字革命”曝光文件反映,俄罗斯联邦安全局(FSB)拟对全球物联网摄像机和数字录像机发起网络攻击,建立名为“Fronton”的物联网僵尸网络。奇安网情局编译报道全文,供读者参考。

俄罗斯黑客组织“数字革命”(Digital Revolution)泄露俄罗斯联邦安全局(FSB)承包商物联网(IoT)僵尸网络Fronton项目计划细节。

第三次被黑!疑似俄罗斯情报机构物联网攻击计划泄露

俄罗斯黑客组织“数字革命”宣布已攻击俄罗斯国家情报服务机构——俄罗斯联邦安全局(FSB)承包商,发现了有关入侵物联网(IoT)设备的Fronton项目的详细信息。

该小组本周发布了12个Fronton项目技术文档、图表和代码片段。本周早些时候,ZDNet和BBC Russia获取并详细阅读了这些文档,还邀请了安全专家对这些报告截图进行了分析。

FRONTON:俄罗斯联邦安全局物联网僵尸网络项目

ZDNet请安全研究人员对黑客组织共享的截图做了分析,根据他们所做的分析,以及本周早些时候BBC Russia所做的报告,我们认为,Fronton项目所描述的就是构建物联网僵尸网络的基础。

Fronton技术文件是根据俄罗斯联邦安全局的一个内部机构(也称为FSB信息安全中心)的采购订单(第64829号)汇总而成的。这些采购订单发给了Inform Invest Group CJSC公司,这是一家长期为俄罗斯内政部提供物联网黑客攻击工具的公司。

根据BBC的报道,Inform Invest Group已将该项目分包给了总部位于莫斯科的软件公司ODT(Oday)LLC。据“数字革命”称,该公司2019年4月遭黑客入侵。

根据文件时间戳,该项目看起来已在2017年和2018年合并。有大量文档可供参考,Mirai病毒(一种IoT恶意软件病毒)也给分析人员带来启示。2016年晚些时候,Mirai病毒开始用于构建大型IoT僵尸网络,这种病毒随后被用于向广泛目标发起毁灭性DDoS攻击,从互联网服务提供商(ISP)到核心互联网服务提供商。

这些文件建议建立一个类似的物联网僵尸网络,供俄罗斯联邦安全局使用。根据相关规范,Fronton僵尸网络将能够对仍使用出厂默认登录名和常用用户名-密码组合的IoT设备进行密码字典攻击。密码攻击成功后,该设备将在僵尸网络中被“奴役”。

FRONTON的目标:物联网摄像机和数字录像机(NVR)

Fronton规范规定,僵尸网络应专门针对互联网安全摄像机和数字录像机(NVR)。他们认为这是进行DDoS攻击的理想选择。

英国广播公司(BBC)引用的文件称:“如果他们传输视频,将拥有足够大的通信渠道来有效执行DDoS。”文件还称,整个僵尸网络中,大约95%应由这两类设备组成,然后每个受感染的设备应针对其他设备进行密码攻击,从而保持僵尸网络的活力。

此外,僵尸网络应该通过基于Web的管理面板进行管理,基于Web的管理面板托管在VPN服务器和代理服务器网络后面的命令和控制(C&C)服务器上,这样做的目的是为了隐藏其实际位置。

第三次被黑!疑似俄罗斯情报机构物联网攻击计划泄露

“数字革命”提供的图片

根据Fronton后端的屏幕截图,该僵尸网络能够针对基于Linux的智能设备。这类设备占到当今物联网系统的绝大多数,因而,它将不仅可以瞄准智能相机和NVR,还可以攻击更多目标。

第三次被黑!疑似俄罗斯情报机构物联网攻击计划泄露

第三次被黑!疑似俄罗斯情报机构物联网攻击计划泄露

根据Fronton规范,在整个项目和源代码中,严格禁止使用俄语和西里尔字母。C&C服务器还需要受密码保护,并且所有未使用的端口都应关闭,以防其他黑客接管僵尸网络的后端基础结构。

俄罗斯国家黑客:攻击物联网设备的历史

对于受俄罗斯国家支持的黑客而言,发动对物联网的攻击不足为奇。

2019年8月,微软曾表示,发现了一个由俄罗斯国家资助的精英黑客组织侵入了IoT设备,以获取对更重要目标的内部网络的访问权限。

另外,同一个组织(他们命名为APT28组织)构建并运行了VPNFilter IoT僵尸网络,美国联邦调查局(FBI)在2018年将其删除。与ZDNet交谈的安全研究人员表示,Fronton和VPNFilter似乎无关。

“数字革命”组织:三次侵入FSB承包商

本周的文件泄漏事件标志着“数字革命”组织第三次侵入FSB承包商。

第一次是侵入Quatum公司。2018年12月,“数字革命”组织侵入该公司并获取了有关FSB社交媒体监控项目的详细信息。

第二次是侵入SyTech公司。获取了有关FSB的六个项目的详细信息,具体包括:

· Nautilus:一个用于收集有关社交媒体用户(例如Facebook、MySpace和LinkedIn)的数据的项目;

· Nautilus-S:一个在恶意Tor服务器的帮助下对Tor流量进行匿名处理的项目;

· Reward:一个秘密渗透P2P网络的项目,例如用于torrents种子;

· Mentor:一个监视和搜索俄罗斯公司服务器电子邮件通信的项目;

· Hope:一个调查俄罗斯互联网拓扑结构以及如何与其他国家/地区网络连接的项目;

· Tax-3:一个创建封闭的Intranet的项目,用于存储高度敏感的州政府人物、法官和地方行政官员的信息,并与州内其他IT网络分开。