背景

援引****的解释，俄罗斯联邦安全局，简称FSB，作为克格勃的继任者，主要负责联邦安全，包括反情报，内部以及边境安全，反恐和监视，以及调查其他一些严重罪行和违反联邦法律的行为。

这也就意味着，FSB需要具备针对俄罗斯内部进行监控的力量，例如掌握全境流量的SORM项目，并且持续派遣旗下的网军针对境外敌对势力，境内反对势力进行攻击和监控，根据爱沙尼亚情报局的报告称，旗下包括著名的Turla、Cozy Bear(APT29)和近期频繁攻击的Gamaredon。

根据俄罗斯BBC的信息来源表示，FSB一般都会与多家俄罗斯企业进行合作，也就是所谓的承包商、外包公司，从而合作开发一些攻击模块，监控系统等等。

至此，就要介绍一个著名的俄罗斯黑客组织Digital Revolution(数字革命)，一个以反俄罗斯联邦政府的黑客组织，其对俄罗斯的种种监控手段不满，通过入侵情报机构或者政府站点，窃取资料和数据从而公布世间。

黑客组织官网

该组织所有数据泄漏信息都会公开在其推特账号上，奇安信威胁情中心在该渠道获取到其发布的相关信息，经过阅读文档后，整理发布如下。

黑客组织推特

在历史上，数字革命总共泄露过三次FSB承包商的数据。以下信息来自开源情报。

第一家是名为Quatum的公司，他们在2018年12月从那里泄露了有关FSB的社交媒体监控项目的详细信息。

而Quatum还是Hacking Team的客户之一。

第二家名为SyTech的公司，该组织泄漏了有关六个FSB项目的详细信息，包括社交媒体数据收集、Tor流量去匿名化、渗透P2P网络、监控并搜索公司邮件通信、调查网络拓扑和创建封闭性内网项目

而第三家，就是我们今天要讲的，名为0Dday Technologies（0day）公司。

该组织分别在3月18号、20号泄露了两批关于FSB如何雇佣承包商，入侵并构建物联网僵尸网络的项目文件，该项目名为：Fronton，此外还有多个未曾一见的监控平台。

以下均为从该黑客团伙泄露的资料中，整理发现的成果，信息来源渠道完全公开。

Fronton项目

Fronton项目是FSB内部部门No. 64829（也称之为FSB信息安全中心）将项目承包给InformInvestGroup，紧接着该集团将项目分包给0day科技公司，后者在2019年4月被数据革命入侵。

根据简介，该集团中文名为通知投资集团，是俄罗斯莫斯科的电信设备供应商。并且其拥有俄罗斯联邦安全局FSB的使用国家机密信息进行工作的权利的许可证，从各方面资讯来源均可得知该集团与俄罗斯政府合作密切。

而Fronton目的是构建一个庞大的物联网僵尸网络。

僵尸网络构成

整个僵尸网络的构成由一份泄露的文档进行说明。

下图为整个僵尸网络的网络拓扑图，该僵尸网络采用了通过VPN集群和Tor节点混合的流量回传机制，并将最终的数据回连到唯一一台用于接收所有数据的主机，该主机通过VPN接入最左侧的APM服务器环境，即 Apache+PHP+MySQL。

我们通过对其中的文档进行分析后，发现了其中记录了整个僵尸网络中，对物联网设备的入侵方法。

首先，该公司获取了几个创建物联网僵尸网络的著名木马：Lizard Stresser, Mirai, Gafgyt,Lizkebab, BASHLITE, Bash0day, Bashdoor 和 Torlus，经过分析后，一番取其精华去其糟粕的操作后，保留以下模块：

1、  暴力破解模块

2、  极快速网络扫描模块:

3、  多平台载荷部署模块

此外，文档还提到了如何通过僵尸网络进行DDOS攻击，例如通过ns，ntp，chargen和ssdp协议。

泄露的代码截图可以对应整个系统的功能模块

而泄露者仅将vpn隧道创建的代码截图和一些配置代码公布出来。

网络攻击部署

Fronton通过托管在VPN和代理服务器后面的APM服务器的Web面板进行管理和攻击，攻击目标为Linux系统的智能设备，安全摄像头，路由器，数字录像机（NVR）等等物联网设备。

此外Fronton规范表明，僵尸网络大约95%由互联网安全摄像头和数字录像机（NVR）这两类设备组成，因为这两类物联网设备主要会用于传输视频，这也证明他们将拥有足够大的通信渠道来有效执行DDoS攻击，利用价值更大。

当然，每个受感染的设备都会针对其他设备进行密码爆破，以使僵尸网络保持旺盛的生命力。

下面的截图即为真实系统，取自整个Fronton系统的管理员部署手册。

手册大致内容和目录如下：

1.布局的目的

2.布局架构

3.基本使用方案

1.1。添加一个新的VPN隧道

1.2。在配置文件生效之前添加隧道

1.3。添加密码字典

1.4。加载字典

1.5。创建新任务扫描

可以看到，该平台可以选择网段，或者上传需要攻击的IP地址，端口，还有需要选择的攻击用隧道

1.6。运行扫描查看进度

1.7。浏览发现的设备列表

1.8。查看已知的设备指纹清单

整套系统在进行交付前还需要进行整体测试，其中提到了需要保护国家秘密等信息。

Fronton项目和源代码中，严禁使用俄语和西里尔字母，从而试图防止被溯源。C＆C服务器还需要密码保护，并关闭所有未使用的端口，以防止其他黑客接管僵尸网络的后端基础结构。

SANA项目

SANA项目是另一个0day公司与FSB合作的项目，主要针对社交媒体进行处置。

社交媒体爬虫功能，通过筛选关键字查看。

针对每个社交用户的具体活动轨迹。

数据革命在入侵Oday科技公司后，录屏并展示该公司的社交媒体平台SANA功能，最后发布在*******上。主要展示该平台的高隐蔽性的注册多种社交媒体账号。

视频如下，由于视频有11分钟，我们对其中功能进行了简单介绍。需要注意的是，该系统在0day内部使用并没有打上SANA的logo，而在FSB内部使用是打上SANA logo的。并且从菜单栏来看，内部系统并没有实际交付给FSB的系统复杂。

首先该平台可以新建一个虚拟机，自定义挑选版本，用途可选择Facebook

然后点击确定后，就可以自动生成一个ID，可以选择给ID重命名操作。

再确定后，就会跳到用户资料设置的位置，并且虚拟机也会开启，而这一步就是注册过程，在其平台上，拥有一个手机号自动发码的功能，如果需要注册Facebook账号，那么直接填写完信息后，点击右上角的SMS即可发码注册。

接着，就可以使用注册的Facebook账号，就在当前平台搜索Facebook的信息，该做法以防留下真实访问痕迹，可见，搜索结果一模一样。

数字革命拖下两名Facebook账号的发言记录，可以看出网军通过该平台可以实施”水军”攻击。

一、祖国之光。

二、松鼠

除了Facebook外，该系统也支持俄罗斯版“facebook”—— VK。

而且从其他泄露文档可以看到，在0day的其他监视平台中，VK用户被单独进行社交关系分析。

社交关系关联，不难发现系统UI框架与Fronton的框架保持一致性。

0Control监视平台

除了上面提及到的攻击平台，该公司还有主要面向移动端的监视平台，监视项包括近期通话记录，当前定位，手机执行操作，文件管理，联系人等等。适配平台有IOS平台，IPAD系统，Android系统。

查看每台移动设备当前状态

安装APP情况

总结

综上所述，这家名为0day的俄罗斯科技公司，实际上就是一家专门开发网络武器的公司，据称其开发的系统售卖给俄罗斯联邦政府从而盈利，大部分为定制化开发。

实际上，根据公开新闻报道，俄罗斯网军一直有入侵物联网设备的历史，微软在2019年8月表示，它已经观察到俄罗斯一个由国家资助的精英黑客组织之一，其入侵IoT设备是为了获得对更重要目标的内部网络的访问权限。

此外，俄罗斯联邦军队总参谋部情报总局(格鲁乌GRU)旗下的APT28此前就有构建并运行名为VPNFilter的 IOT僵尸网络，美国FBI在2018年将该僵尸网络成功破坏。而由于两个部门构建的僵尸网络区别过大，因此可以初步判断Fronton和VPNFilter并没有关系。

但是，从总体网络作战战略上来看，这已经充分证明如今的网军攻击的趋势：一、利用僵尸网络，二、利用物联网。

而前者就有朝鲜的Lazarus网军向TrickBot僵尸网络租用C2回连服务器资源的案例，而两者结合起来，便是俄罗斯的这种，通过入侵安全性不高的IOT物联网设备，将目标家里的智能家电，路由器，摄像头等等，都感染木马成为僵尸主机，从而构建一张不容易被破坏，并且反溯源能力极强的僵尸网络。

奇安信威胁情报中心认为，当这类僵尸网络被国家级网军利用，即可达成收集海量数据的目的，并且可以做到实施流量劫持，进一步向目标的电脑实施攻击，这给如今5G物联网的普及，万物互联时代的开启敲响警钟。保障物联网设备的安全性，同样也是保障国家网络基础设施的安全性，务必加以重视。

最后，由于Fronton项目的攻击平台原理，与Mirai等大型僵尸网络的构成类似，因此，我们可以经常性对网络下的物联网节点进行安全性扫描并进行加固，可以有效防止相关攻击。

参考链接：

[1]黑客团队推特：
https://twitter.com/D1G1R3V

[2]黑客团队官网：

http://www.d1g1r3v.net/

[3]****关于FSB的解释

https://en.*********.org/wiki/Federal_Security_Service

[4]演示视频链接

https://www.*******.com/watch?v=wGTSD91n5Ps