"Отключить интернет в небольшой стране". Хакеры рассказали о новом кибероружии, заказанном ФСБ

Хакерская группа Digital Revolution, известная взломами предполагаемых подрядчиков ФСБ, рассказала о новом оружии, заказанном спецслужбой - программе "Фронтон", с помощью которой можно организовывать кибератаки, используя устройства интернета вещей.

Техническую документацию "Фронтонов" хакеры опубликовали в среду, 18 марта. По данным Digital Revolution, существуют разные версии программы - "Фронтон", "Фронтон-3Д" и "Фронтон-18". Все они позволяют заражать "умные" устройства (от цифровых ассистентов до целых "умных" домов), объединять их в сеть и "обваливать" сервера, отвечающие за устойчивость работы крупных интернет-сервисов и интернета в целых странах.

Судя по опубликованным документам, в разработке кибероружия, вероятно, могла участвовать московская компания 0day (ООО "0ДТ") - хакеры Digital Revolution утверждали, что взломали ее еще в апреле 2019 года. Представители компании тогда отказались от комментариев Би-би-си.

Один из документов - "макет опытно-конструкторской работы", который, если верить утечке, якобы готовила ЗАО "ИнформИнвестГрупп" по заказу войсковой части № 64829, более известной как Центр информационной безопасности ФСБ. В ЗАО "ИнформИнвестГрупп" работает около 125 человек, чистая прибыль компании в 2018 году составила 12 млн рублей, ранее она выполняла заказы МВД.

"Интернет вещей менее защищен, в отличие от мобильных устройств и серверов", - с этой фразы начинается небольшой документ под названием "Обзор". В частности, многие пользователи используют "умные" устройства прямо "из коробки", не меняя стандартные заводские логины и пароли, что делает их доступными мишенями для хакеров.

В 2020 году к интернету вещей будет подключено более 20 млрд устройств, прогнозирует агентство Gartner. В опубликованных документах подрядчики ФСБ ссылаются на опыт Mirai - самой крупной сети зараженных IoT-устройств, которая насчитывала 600 тыс. ботов. В 2016 году она вывела из строя DNS-серверы американской компании Dyn: интернет-сервисы использовали их для обновления информации в режиме реального времени.

В результате атаки на сроки от нескольких минут до нескольких часов оказались недоступны сайт Би-би-си, платежная система PayPal, соцсеть "Твиттер", поставщик фильмов и сериалов Netflix и еще около 70 популярных сервисов.

Тогда в качестве зараженных "зомби", массово отправлявших запросы на эти сервера, организаторы атаки использовали не обычные в таких случаях компьютеры, а принтеры, детские мониторы и IoT-роутеры.

Но в документах предлагается заражать другие объекты: на 95% "ботнет" должен состоять из IP-камер и цифровых видеорекордеров - "если они передают видео, то имеют достаточно большой канал связи, чтобы эффективно совершать DDoS" (именно такой вид хакерских атак использовался Mirai в 2016 году).

Находить мишени для взлома должен специальный "сервер поиска". Подключаться к нему можно через виртуальную частную сеть или браузер Tor; они запутывают соединение таким образом, чтобы нельзя было выйти на конечного пользователя.

В документации продуманы средства, чтобы тщательно скрывать следы. "Исключено использование русского языка и связной кириллицы, для доступа к серверу требуется авторизация, закрыты неиспользуемые порты", - говорится в макете "Фронтонов".

Взламывать устройства предлагается с помощью словаря типичных паролей от IoT-устройств. В отличие от Lizard Stresser - еще одного "ботнета", состоявшего из 120 тыс. зараженных устройств - словарь паролей "не захардкожен" (цитата из документации), то есть его можно редактировать, подстраивая свой словарь под конкретные мишени.

"Сканирование сети происходит самими зараженными машинами, - говорится в "Обзоре". - Таким образом рост заражения происходит в геометрической прогрессии. При достижении определенного количества машин (несколько десятков тысяч) для диапазона адресов IPv4 становится возможным полный поиск всех адресов".

IPv4 - самая распространенная версия протокола передачи данных в интернете, используемая большинством компьютеров и гаджетов. В ней насчитывается более 4 млрд сетевых адресов.

"Мощная атака нескольких сотен тысяч машин способна сделать сайты социальных сетей, файлообменников недоступными в течение нескольких часов. Атака на национальные DNS-сервера может сделать недоступным интернет в течение нескольких часов в небольшой стране", - говорится в опубликованных хакерами документах.

Опубликованный 18 марта Digital Revolution слив состоит из 12 технических документов, схем и фрагментов кода, созданных в 2017-2018 годах. В одном из документов указано, что документация "имеет гриф несекретно", а шифры "Фронтон" и "Фронтон-3Д" могут использоваться в открытой переписке и переговорах.

Хакеры в своем "Твиттере" отмечают, что "Фронтоны" могут использоваться для "шпионажа за всем миром", видимо, отмечая, что основные объекты кибератак в данном случае - цифровые камеры. На вопросы Би-би-си они не ответили.

Би-би-си отправила запрос в пресс-службу ФСБ. Гендиректор ЗАО "ИнформИнвестГрупп" Андрей Темняков в момент подготовки материала был недоступен для комментариев.

Хакеры Digital Revolution заявили о себе в декабре 2018 года, взломав сервера, принадлежавшие, как они утверждали, еще одному подрядчику ФСБ - НИИ "Квант". Так в сеть попало описание системы, которую спецслужбы используют для мониторинга общественного мнения и поиска протестных настроений.

В июле 2019 года они опубликовали проекты очередного подрядчика ФСБ, компании "Сайтэк", посвященные деанонимизации пользователей браузера Tor, исследованию уязвимости торрентов, сбору информации о пользователях соцсетей.

"Мы будем и дальше разоблачать проекты, показывающие, как власти пытаются затолкать нас всех под колпак ФСБэшного контроля", - написали тогда "цифровые революционеры".

***