Пандемія кібервірусу
Поки світ накриває хвилями інформації про поширення та боротьбу з коронавірусом, і всі погляди прикуті до сфери фізичного здоров’я людства, ми реально можемо проґавити ще одну невидиму загрозу, але вже нашому «технічному» здоров’ю. Мова йде про вірогідну нову кіберзаразу чи кіберзброю від Федеральної служби безпеки Росії. Про чергову загрозу з боку ФСБ повідомила на своїй сторінці хактивістська (саме хактивістами тепер називають «білих» хакерів-активістів) група «Digital Revolution».
Хакери «Digital Revolution» або «D1G1R3V» опублікували, а краще сказати – «злили» в мережу технічні документи програми “Фронтон”, серед яких текстові презентації, технічні схеми і навіть фрагменти кодів програм, створених в 2017 – 2018 роках.
«Digital Revolution» наполягає на тому, що існують різні версії програми: “Фронтон”, “Фронтон-3Д” і “Фронтон-18”. Скільки їх не було б, їхня основна небезпека – в можливості заражати «розумні» пристрої (від цифрових асистентів до цілих «розумних» будинків), об’єднувати їх в мережу і «обвалювати» сервери, які відповідають за стійкість роботи великих інтернет-сервісів і інтернету в цілих країнах. Тобто здатність організовувати кібератаки за допомогою пристроїв інтернету речей (IoT) і навіть позбавляти доступу до інтернету окрему невеличку країну. Ось дослівна, страшна в своїй перспективі цитата зі злитих документів: «Потужна атака декількох сотень тисяч машин здатна зробити сайти соціальних мереж, файлообмінників недоступними упродовж декількох годин. Атака на національні DNS-сервери може зробити недоступним інтернет упродовж декількох годин в невеликій країні».
Спробуємо розібратися. Базуючись на викладених документах, більшість з яких сира технічна документація, зрозуміла лише просунутим діджитал-фахівцям, «Digital Revolution» стверджують, що за допомогою програми «Фронтон» російський уряд та його «кремлівські прихвосні» «будуть зламувати наші комп’ютери та шпигувати за нами, за усім світом».
Під «кремлівськими прихвоснями» активісти мають на увазі московську компанію «0day» (ТОВ «0ДТ», ЗІРОУДЕЙ ТЕХНОЛОДЖІС), яка б могла брати участь у розробці «Фронтону» і яку хакери зламали ще в квітні 2019 року. Хактивісти неодноразово зламували та зливали інформаційне досьє про дану компанію. «0day Technologies» – російська приватна IT-компанія, яка працює в сфері сучасних технологій та захисту інформації на досить засекреченому полі замовлень з боку державних структур Росії. Компанія «0day» має (чи мала до 2019 року) статус консультанта таких силових відомств Росії, як ФСБ, МВС та Роскомнадзор. Спеціалістів «0day» небезпідставно підозрюють в намаганні розробити та продати силовим органам інформацію та ІТ-продукти, які спрямовані на негласний моніторинг, збір та зберігання інформації про користувачів російського інтернету (Рунету), а також рішень для блокування месенджера «Telegram».
Співпраця з державними структурами, звичайно, не осудна – їм також потрібні консультанти у даній сфері. Але, знаючи характер дій служб безпеки Росії, спрямованих більше на кібератаки по всьому світу, ніж на кіберзахист власної країни, можна припустити не зовсім легальний чи прозорий характер та напрямок розробок усіх заангажованих та пов’язаних з ФСБ ІТ-компаній.
На щастя, у 2018 році програмне рішення ТОВ «0ДТ» по блокуванню месенджера «Telegram», яке вони продали Роскомнагляду, виявилося не життєздатним, і протягом усього 2019 року «Telegram» так і не був заблокований. Сам очільник ТОВ «0ДТ» Руслан Гілязов, не приховуючи, розповідає в ЗМІ про наявність у компанії інших розробок в допомогу виконання федерального Закону Ярової-Озерова (пакет ФЗ №374 та 375). Цей пакет законів, прикриваючись формулюванням «протидія тероризму», фактично обмежує права людини в Росії, розширюючи повноваження правоохоронних органів та операторів зв’язку, а також інтернет-проєктів в напрямку оперативно-пошукових заходів та банального шпигунства за громадянами. За цим проєктом ФСБ стоять великі гроші, можливо, саме вони так приваблюють ІТ-розробників.
Іншим «кремлівським прихвоснем», на думку «Digital Revolution», є ЗАТ «ІнформІнвестГруп», ниточки від якого, згідно одного з опублікованих документів (а саме – «макету дослідно-конструкторської роботи») ведуть до військової частини №64829. Вона у свою чергу відома як Центр інформаційної безпеки ФСБ. На виконанні ЗАТ «ІнформІнвестГруп» неодноразово були замовлення від МВС Росії, а чистий прибуток товариства у 2018 році склав 12 млн. рублів.
Саме на виявлення таких замовних непублічних компаній, які точно працюють на ФСБ не на безоплатних умовах, і спрямована діяльність білих хакерів. Хактивісти «Digital Revolution» вперше заявили про себе в грудні 2018 року, зламавши сервери, які, на їхню думку, належали ще одному підряднику ФСБ – НДІ «Квант». Тоді в мережу потрапив опис системи, яку спецслужби використовують для моніторингу суспільної думки та пошуку протестних настроїв. У липні 2019 року діджитал-революціонери опублікували проєкти чергового підрядника ФСБ – компанії «Сайтек», присвячені деанонімізації користувачів відомого браузера «Tor», дослідженню вразливості торентів, збору інформації про користувачів соцмереж. І чи дійсно хлопці зливають важливу та правдиву інформацію, чи просто хайпують на популярності зв’язку «ФСБ – кібербезпека» – однозначно на викладений матеріал варто звертати увагу. «D1G1R3V» заявляють: «Ми і надалі будемо викривати проєкти, які демонструють те, як влада намагається заштовхати нас всіх під ковпак контролю ФСБ».
Повернімося до змісту останнього зливу. Хактивісти б’ють на сполох з приводу можливих вірусних атак та зараження пристроїв, які нами поки що не розглядаються як носії кібернебезпеки. Згаданий «Фронтон», зокрема в інтерпретації російської служби ВВС, яка першими подала інформацію про злив, це програмна зброя для організації кібератак. Так званих «DoS-attack», «DDoS-attack», (Distributed) «Denial-of-service attack» — нападів на комп’ютерну систему з наміром зробити комп’ютерні ресурси недоступними (у випадку з «Фронтоном» – із застосуванням пристроїв інтернету речей (IoT). За допомогою «Фронтону» можна заражати розумні пристрої та об’єднувати їх в мережу (так звані ботнети — мережі, до складу яких можуть входити сотні тисяч ботів). Для функціонування ботнету потрібні не просто випадкові пристрої з вашого дому типу чайника чи пилосмоку, а машини з великими каналами, які пропускають через себе багато важкого трафіку. Такими машинами можуть бути IP-камери або цифрові відеорекордери. Ботнет з 95%-ми таких машин цілком може провести успішну DDoS-атаку. Журналісти припустили, що такий ботнет може обвалити навіть великий інтернет-сервіс чи зробити інтернет взагалі недоступним для користувачів окремої країни. Інструментом пошуку мішеней для атак може бути використаний спеціальний пошуковий сервер, до якого можна підключитися через браузер «Tor» чи приватну віртуальну мережу. Сам «Tor» (скор. від англ. «The Onion Router») — це система, що створена для забезпечення анонімності в мережі Інтернет. Клієнтське програмне забезпечення «Tor» маршрутизує Інтернет-трафік через всесвітню мережу добровільно встановлених серверів з метою приховування розташування користувача. Схема атаки доволі проста: заражені машини сканують мережу, тим самим інфікуючи інші пристрої. Коли досягається певна кількість машин (до кілька десятків тисяч) для діапазону адресів IPv4 стає можливим повний пошук всіх адрес. Тобто під загрозою опиняється сам принцип анонімності в мережі.
У своєму припущенні про такий сценарій ЗМІ посилаються на матеріали з презентації «Ботнети інтернету речей» та документ під назвою «Огляд». «Інтернет речей менш захищений на відміну від мобільних пристроїв чи серверів», – йдеться в «Огляді». Там також міститься посилання на досвід Mirai. Наразі це найбільш відома мережа заражених пристроїв з 600 тисяч ботів. Одним із основних факторів, котрі посприяли її створенню, став той, що користувачі приладів не змінили стандартні заводські паролі та налаштування на своїх розумних пристроях. Результатом роботи мережі ботів Mirai стали проблеми з доступом у «Twitter», «PayPal», «SoundCloud» та до інших відомих сервісів.
Тільки уявіть собі такий розвиток подій під час оголошеної нині пандемії коронавірусу, коли багато інформації щодо перебігу світової хвороби, міждержавної допомоги чи обміну досвідом приходить до нас через інтернет, соціальні мережі чи файлообмінники. Їхня недоступність навіть на кілька годин може призвести до непередбачуваних наслідків. Чи може це бути вигідно ФСБ та іншим силовим структурам? Цілком припустимо. Свята ж мета білих хакерів (і наша з вами) – максимально не допускати поширенню ФСБ-шних кібернебезпек та загроз, б’ючи на сполох навіть при мінімальній підозрі, щоб не стало запізно.
Інше онлайн-ЗМІ – «Daily Storm» (dailystorm.ru), яке позиціонує себе як ресурс групи російських журналістів-альтруїстів з різних ЗМІ (що об’єдналися заради того, аби нести правду та роз’яснення про процеси в Росії та за її межами громадянам РФ), вдалося до власного фахового розслідування зливу від хакерів з «Digital Revolution». На думку автора «Daily Storm», судити про долю системи «Фронтон» чи злі наміри ФСБ по опублікованим документам не коректно, а сама презентація «Ботнети інтернету речей» не дає надійних відповідей. Справа в тім, що вона стосується, найімовірніше, початкового етапу розробки такого програмного забезпечення, адже документи не містять жодних печаток чи авторизованих підписів, а відтак не відомо, яка частина робіт була почата, ведеться наразі чи вже була завершена. Автор наголошує, що майже всі представлені технічні документи сирі, і мова йде лише про стадію розробки ПЗ із вірусними характеристиками. Проте й не заперечує, що за допомогою такого програмного забезпечення цілком можна сканувати інтернет та атакувати знайдені пристрої, збираючи їх в мережі. ФСБ чи інший гіпотетичний користувач системи «Фронтон» теоретично може отримати власну мережу, подібну до популярного «Tor», що використовує ланцюги хостів та захищеного з’єднання. Автори «Daily Storm» все ж вважають даний злив скоріш викриттям можливого факту «розпилу» державних грошей, ніж реальним наміром обвалити інтернет речей, базуючись на відсутності прямих доказів та слабкості технічного рішення. У викладених документах фігурує метод брутфорса (повного перебору паролів) та Hydra – відомий з 2001 року інструмент з відкритим кодом для такого брутфорсу. Саме тому Hydra легко блокується і елементарно виявляється. Таким чином система «Фронтон», яка користає Hydra, нічого нового та реально загрозливого в собі поки що не несе.
Але захищений той, хто попереджений, чи не так? Ми не можемо знати всієї правди, але хакерська інформація нам потрібна для виявлення хоча б однієї справжньої загрози, навіть якщо до цього 100500 попередніх виявляться типовим хайпом, неперевіреною чи непідтвердженою інформацією.
Посилання на сайт Digital Revolution – https://www.d1g1r3v.net/
Інна Крупник для Промоут Юкрейн