Опубликованный 18 марта Digital Revolution архив состоит из 12 технических документов, схем и фрагментов кода, созданных в 2017-2018 годах. В них говорится о нескольких версиях программы "Фронтон" ("Фронтон", "Фронтон-3Д" и "Фронтон-18"), позволяющей заражать "умные" устройства, создавать из них ботнет и атаковать серверы, отвечающие за устойчивость работы крупных интернет-сервисов. При этом в одном из документов говорится, что документация "имеет гриф несекретно", а шифры "Фронтон" и "Фронтон-3Д" могут использоваться в открытой переписке и переговорах. Судя по материалам, в разработке этих программ участвовали московская компания 0day (ООО "0ДТ"), которую хакеры Digital Revolution, по их собственных утверждениям, взломали в апреле 2019 года, и ЗАО "ИнформИнвестГрупп", ранее выполнявшее заказы МВД.
Почему наше собственное правительство шпионит за нами через IoT? По сути, шпионит за всем миром. Как это им удается? #ФРОНТОН https://t.co/1Ju6Wlef9Bhttps://t.co/i44eSY5CvL pic.twitter.com/rBEdAElcpP
— DigitalRevolution (@D1G1R3V) March 18, 2020
В документах отмечается, что устройства IoT слабо защищены от атак. Одной из причин недостаточной защиты является тот факт, что многие их владельцы не меняют установленные производителями логины и пароли, что упрощает задачу по взлому этих устройств. "Мощная атака нескольких сотен тысяч машин способна сделать сайты социальных сетей, файлообменников недоступными в течение нескольких часов. Атака на национальные DNS-сервера может сделать недоступным интернет в течение нескольких часов в небольшой стране", – говорится в опубликованных материалах.
Авторы документов ссылаются на опыт создателей ботнета Mirai, который насчитывал сотни тысяч зараженных IoT-устройств и в 2016 году был использован группировкой New World Hackers для успешной атаки на инфраструктуру американской компании Dyn. Тогда атака на несколько часов лишила пользователей из разных стран доступа ко многим сайтам и сервисам, включая Twitter, Spotify, Reddit, CNN, Github, Recode, PayPal и многие другие.
Создатели Mirai использовали для атаки зараженные вредоносным ПО принтеры, роутеры и некоторые другие устройства. Разработчики программы "Фронтон" предлагают создавать ботнеты из IP-камер и цифровых видеорекордеров. "Если они передают видео, то имеют достаточно большой канал связи, чтобы эффективно совершать DDoS", – говорится в документах. Находить мишени для атак должен специальный "сервер поиска", подключаться к которому можно через виртуальную частную сеть или анонмный браузер Tor, что позволит замести следы. Для той же цели служит и прямой запрет использовать русский язык и кириллицу при организации атак.
Отметим, что эксперты ранее неоднократно предупреждали об угрозе DDoS-атак с использованием ботнетов из IoT-устройств, которых в мире становится больше с каждым годом. Так, по оценке аналитиков компании Gartner, в 2020 году к интернету вещей будет подключено более 20 млрд устройств.
Напомним, впервые о группе Digital Revolution стало известно в декабре 2018 года. Тогда хакеры заявили о взломе сервера принадлежащего ФСБ и попавшего под американские санкции НИИ "Квант" и опубликовали документы, описывающие используемую спецслужбой систему мониторинга соцсетей, предназначенную для анализа протестных настроений.
Летом прошлого года группа рассекретила документы подрядчика ФСБ – компании "Сайтэк", в которых говорилось о ряде проектов, выполненных по заказу спецслужб. В частности, в материалах описывались разработки по деанонимизации пользователей браузера Tor, исследованию уязвимости торрентов и сбору информации о пользователях соцсетей. Тогда в Digital Revolution пообещали и дальше "разоблачать проекты, показывающие, как власти пытаются затолкать нас всех под колпак ФСБшного контроля".