Η ρωσική hacking ομάδα Digital Revolution ισχυρίζεται ότι παραβίασε τα συστήματα ενός εξωτερικού συνεργάτη της FSB, της Εθνικής Υπηρεσίας Πληροφοριών της Ρωσίας, και ανακάλυψε λεπτομέρειες σχετικά με ένα project που στόχευε στο hacking Internet of Things (IoT) συσκευών.
Οι hackers δημοσίευσαν 12 έγγραφα με τεχνικά στοιχεία, διαγράμματα και αποσπάσματα κώδικα για ένα project που ονομάζεται “Fronton“.
Τα στοιχεία αυτά κυκλοφόρησαν παντού, αφού λίγες μέρες νωρίτερα το BBC Russia αποκάλυψε την είδηση.
Fronton: Το IoT botnet της FSB
Σύμφωνα με τα screenshots που έδειξαν οι hackers και τις αναλύσεις των ερευνητών, το project Fronton περιγράφει μάλλον τα βασικά στοιχεία της κατασκευής ενός IoT botnet.
Τα τεχνικά έγγραφα για το Fronton είχαν συνταχθεί από ένα από τα εσωτερικά τμήματα της FSB, μονάδα αρ. 64829, η οποία είναι επίσης γνωστή ως FSB Κέντρο Ασφάλειας Πληροφοριών.
Τα έγγραφα αναφέρουν ότι η InformInvestGroup CJSC, μια ρωσική εταιρεία που έχει συνεργαστεί πολλές φορές με το ρωσικό Υπουργείο Εσωτερικών, έχει αναλάβει την κατασκευή ενός IoT hacking εργαλείου.
Σύμφωνα με το BBC, η InformInvestGroup φαίνεται να συνεργάζεται και με την εταιρεία λογισμικού ODT (Oday) LLC που εδρεύει στη Μόσχα. Η Digital Revolution ισχυρίζεται ότι είχε παραβιάσει τα συστήματα της ODT (Oday) LLC τον Απρίλιο του 2019.
Έτσι, οι hackers απέκτησαν πρόσβαση στα έγγραφα που αναφέρονται στο IoT hacking project της FSB. Με βάση τα έγγραφα, το project άρχισε να τίθεται σε εφαρμογή το 2017 και το 2018. Οι εταιρείες πίσω από αυτό, φαίνεται να εμπνέονται από το Mirai, ένα IoT malware που χρησιμοποιήθηκε για την κατασκευή ενός τεράστιου IoT botnet στα τέλη του 2016. Το Mirai χρησιμοποιήθηκε για την πραγματοποίηση χιλιάδων DDoS επιθέσεων σε διάφορες εταιρείες.
Τα έγγραφα προτείνουν την κατασκευή ενός παρόμοιου IoT botnet που θα διατεθεί στην FSB. Σύμφωνα με τα στοιχεία που διέρρευσαν, το Fronton IoT botnet θα είναι σε θέση να πραγματοποιεί «password dictionary επιθέσεις» σε συσκευές IoT, που εξακολουθούν να χρησιμοποιούν προεπιλεγμένα εργοστασιακά credentials και συνηθισμένους συνδυασμούς username-password. Εάν η επίθεση είναι επιτυχής, η IoT συσκευή θα ενσωματωθεί στο botnet.
Fronton: Στόχος οι IOT κάμερες και τα NVRS
Οι hackers λένε ότι οι προδιαγραφές του Fronton botnet του επιτρέπουν να στοχεύει κάμερες ασφαλείας και ψηφιακές συσκευές εγγραφής βίντεο (NVRs). Οι συγκεκριμένες συσκευές είναι ιδανικές για DdoS επιθέσεις.
“Αν κάνουν μετάδοση βίντεο, έχουν ένα επαρκώς μεγάλο κανάλι επικοινωνίας, για την αποτελεσματική εκτέλεση DDoS”, ανέφεραν τα έγγραφα.
Περίπου το 95% του botnet θα πρέπει να αποτελείται από αυτούς τους δύο τύπους συσκευών, λένε τα έγγραφα. Κάθε μολυσμένη συσκευή θα πραγματοποιεί «password επιθέσεις» σε άλλες συσκευές προκειμένου να διατηρηθεί ζωντανό το IoT botnet.
Επιπλέον, η FSB θα διαχειρίζεται το botnet μέσω ενός διαδικτυακού πίνακα διαχείρισης, που φιλοξενείται σε έναν command and control (C&C) server, που είναι τοποθετημένος πίσω από ένα δίκτυο VPN και proxy servers, προκειμένου να κρύψει την πραγματική του θέση.
Το Fronton botnet ήταν ικανό να στοχεύει έξυπνες συσκευές που βασίζονται στο Linux, οι οποίες αντιπροσωπεύουν τη συντριπτική πλειοψηφία των IoT συστημάτων σήμερα.
Η χρήση της ρωσικής γλώσσας και του κυριλλικού αλφαβήτου απαγορεύτηκε αυστηρά σε όλο το project και στον source code.
Ρωσία FSB: Οι κρατικοί Ρώσοι hackers συνηθίζουν να στοχεύουν IoT συσκευές
Οι κρατικοί hackers της Ρωσίας έχουν προσπαθήσει πολλές φορές να χακάρουν IoT συσκευές. To IoT hacking project της Υπηρεσίας Πληροφοριών δεν αποτελεί έκπληξη.
Τον Αύγουστο του 2019, η Microsoft δήλωσε ότι είχε παρατηρήσει μία από τις κορυφαίες hacking ομάδες να παραβιάζει συσκευές IoT προκειμένου να αποκτήσει πρόσβαση στο εσωτερικό δίκτυο ενός σημαντικού στόχου.
Είναι η τρίτη φορά που η Digital Revolution αποκαλύπτει αρχεία από συνεργάτη της ρωσικής Υπηρεσίας Πληροφοριών.
Το πρώτο θύμα ήταν μια εταιρεία με την επωνυμία Quatum. Η Digital Revolution παραβίασε τα συστήματα της εταιρείας και αποκάλυψε λεπτομέρειες σχετικά με προγράμματα παρακολούθησης social media, που χρησιμοποιούσε η FSB.
Το δεύτερο θύμα ήταν μια εταιρεία που ονομάζεται SyTech, από όπου οι hackers της Ditigal Revolution απέκτησαν στοιχεία για έξι άλλα μυστικά projects της FSB.
