Мировые

Познакомьтесь с подрядчиком ФСБ: 0Day Technologies

Ключевые выводы

  • 0Day Technologies (0DT) – частная компания, с которой ФСБ заключила контракт на разработку возможностей наблюдения и дезинформации.
  • 0DT были скомпрометированы хакерской группой Digital Revolution в 2019 году, которая опубликовала украденные документы с подробным описанием продуктов компании, сотрудников и клиентуры.
  • Работа 0DT по наблюдению была в основном связана с SORM, основной технологией наблюдения российского правительства. Компания разработала набор инструментов от глубокой проверки пакетов (DPI) до анализа, включая социальные графики для выявления диссидентов и законного перехвата социальных сетей и приложений для обмена сообщениями.
  • Архивированный веб-сайт 0DT показывает сходство между продуктами, предлагаемыми частным клиентам, и возможностями наблюдения, созданными для FSB.
  • Клиентами 0DT являются частные российские компании в транспортном, горнодобывающем, финансовом и телекоммуникационном секторах. В число государственных заказчиков входят государственные энергетические компании, правительственные ведомства, такие как Министерство внутренних дел, и разведывательные агентства, такие как ФСБ.
  • Среди клиентов 0DT – подразделение 71330 FSB (ОНО же DragonFly, EnergeticBear, Крадущийся Йети), которое правительства США и Великобритании публично обвинили в нападении на критическую национальную инфраструктуру за рубежом.
  • 0DT также был приобретен подразделением 64829 FSB для создания Fronton, ботнета для Интернета вещей (IOT), вдохновленного Mirai. Fronton проводит массовое сканирование Интернета и принудительное использование паролей по умолчанию для заражения устройств.
  • Fronton используется в качестве инфраструктуры командования и управления (C2) для SANA, несмотря на то, что СМИ ошибочно считают, что он используется для DDoS-атак.
  • SANA – это платформа для дезинформации, которая позволяет пользователям быстро раскручивать сети ботов в социальных сетях. Боты используют заранее определенные модели поведения и реакции для автоматического таргетинга на определенные повествования, сообщества и учетные записи.
  • 0DT использует Московский государственный университет (МГУ) в качестве прикрытия для государственных закупок, а также площадки для набора сотрудников. В руководство 0DT входят нынешние ученые факультета математики и кибернетики МГУ.

Содержание

  1. Ключевые выводы
  2. Содержание
  3. Цифровая революция и 0DT
  4. Oracle Filter
  5. Аналитика
  6. Контроль (ОН же “0Control”, “0MDM”)
  7. Guardian (ОН же “0Terminal”)
  8. Fronton
  9. SANA
  10. Сотрудники
  11. Используя МГУ в качестве прикрытия
  12. Внутреннее функционирование
  13. Клиентура
    1. FSB
      1. 8-й центр
      2. 16-й центр (подразделение 71330)
      3. 18-й центр
  14. Благодарности

Цифровая революция и 0DT

18 марта 2020 года российская хактивистская группа Digital Revolution опубликовала утечку файлов, полученных в апреле 2019 года от 0Day Technologies LLC (OOO ЗИРОУДЭЙ ТЕХНОЛОДЖИС, ОНА же “0ДТ” или “0DT”), частной российской компании, которая, как утверждается, разработала возможности цифрового наблюдения для ФСБ, российского разведывательного агентства внутренней безопасности.

Документы включали официальные маркетинговые документы, технические спецификации продуктов и внутреннюю документацию, принадлежащую 0DT, демонстрирующую продукты группы для наблюдения, внутреннее функционирование и связи с российским разведывательным сообществом, а также с более широкой сетью частных клиентов.

Графический пользовательский интерфейс, описание приложения генерируется автоматически

Рисунок 1: Утечка внутренней документации 0DT в результате цифровой революции

Что еще более важно, документы раскрыли работу компании над цифровыми инструментами наблюдения для ФСБ, которая включает в себя работу над СОРМ-2, вторым поколением российских систем наблюдения СОРМ (Система оперативно-розыскной деятельности). В дополнение к разработке технологий для глубокой проверки пакетов (DPI), установленных на телекоммуникационной инфраструктуре, 0DT разработала набор инструментов анализа, которые позволяют оперативникам FSB собирать, анализировать и отслеживать данные из различных социальных сетей и интернет-источников. Одна из функций включает мониторинг реакции аудитории для отслеживания реакций на государственную пропаганду. С тех пор компания переупаковала возможности наблюдения, разработанные для FSB, для продажи корпоративным клиентам, предоставив частным компаниям цифровые инструменты наблюдения для слежки как за сотрудниками, так и за широкой общественностью.

Представляет интерес, как сообщал Nisos в мае 2022 года, документы раскрыли работу 0DT по разработке инструментов для проведения масштабных информационных операций, которые включают Fronton, ботнет для Интернета вещей (IoT), основанный на Mirai, выступающий в качестве серверной части для SANA, интерфейсного инструмента, используемого оперативниками для создания автономных ботов в социальных сетях, определения моделей автоматизированного поведения и реакции и продвижения дезинформации. Использование ботнета Интернета вещей позволяет SANA обходить меры безопасности платформ социальных сетей и позволяет ботам постоянно распространять дезинформацию.

Кроме того, документы демонстрируют тесные отношения между 0DT и факультетом вычислительной математики и кибернетики МГУ (VMK), поскольку большинство сотрудников являются либо нынешними преподавателями, либо выпускниками. Считается, что 6 сотрудников были завербованы 0DT за время их работы в департаменте. Документы также дают представление о клиентах 0DT, в число которых входят несколько департаментов ФСБ, а также крупные российские банки, телекоммуникационные провайдеры и компании различных отраслевых вертикалей, включая горнодобывающую промышленность, энергетику и транспорт.

Ярлык / “Метка”

Согласно просочившимся документам, 0DT разработала “Label“ (”Metka”), инструмент для сбора и анализа данных, встроенный в СОРМ-2. 0DT похвасталась преимуществами своего продукта, такими как неограниченная пропускная способность и покрытие более 200 сетевых протоколов для сбора данных, с возможностью для пользователей устанавливать дополнительные дополнения, разработанные компанией, такие как дополнения для перехвата VoIP и сообщений на игровых платформах, таких как Discord и TeamSpeak. После установки инструмент анализирует пакеты из захваченного трафика, помечая данные на основе 2000 параметров, которые могут включать следующие поля: (Рисунок 2)

  • Имя учетной записи подписчика
  • Номер телефона / IMEI / IMSI
  • IP и MAC-адрес
  • Эл. адрес
  • Идентификатор учетной записи VoIP
  • Я справляюсь
  • ICQ (VoIP + IM)
  • URL-адреса
  • Адрес FTP-ресурса
  • Код протокола прикладного уровня
Графический пользовательский интерфейс, описание приложения генерируется автоматически

Рисунок 2: Интерфейс для системы “ярлыков” 0DT

Поддерживаемые источники включают (рисунок 2):

  • Facebook
  • Twitter
  • ВКонтакте
  • Telegram
  • WhatsApp
  • Однолассники
  • Viber
  • СМС
  • RSS-каналы
  • Радио- и телевизионное вещание и журналы
Автоматически сгенерированное описание схемы

Рисунок 3: Процесс извлечения, анализа и визуализации данных, проиллюстрированный 0DT

Рисунок 4: Переведенная диаграмма

Рисунок 5: Список источников для сбора данных по меткам

После сбора данные могут быть визуализированы и проанализированы операторами через веб-интерфейс. Инструмент выполняет несколько процедур анализа данных для обнаружения подозрительного поведения и сопоставления физического местоположения цели, перемещений и действий, включая: обнаружение использования технологий анонимизации, построение карты перемещений на основе метаданных и извлечение географических данных из картографического приложения target. Затем данные о местоположении будут сопоставлены с географическим положением близлежащих мест общественного транспорта, а также с записями камер видеонаблюдения и фотографиями в районе целей в режиме реального времени.

Кроме того, данные автоматически агрегируются из различных социальных сетей и анализируются для выявления социальных сетей целей и “узлов влияния”, включая общественное мнение. Этот тип анализа распространен в методах анализа борьбы с терроризмом, который включает в себя использование “информационных каскадов” – поведенческого анализа сетей для определения влиятельных узлов, которые, вероятно, координируют другие узлы, такие как руководители ИГИЛ, координирующие конкретные ячейки.

Данные также будут проанализированы для выявления “настроений, интересов и активности” социальных сетей, а также любых юридических лиц, связанных с предметом, таких как компании, организации или НПО.

Автоматически сгенерированное описание диаграммы рассеяния

Рисунок 6: Социальный граф, определяемый ярлыком

Chart, scatter chart

Description automatically generated

Figure 7: Social graph determined by Label

Согласно просочившимся документам, данные, собранные о целях, используются операторами для автоматического создания “досье” о действиях целей с использованием расширенного моделирования поведения и анализа образа жизни (рисунок 5).

Графический пользовательский интерфейс, описание приложения генерируется автоматически

Рисунок 8: Моделирование профиля цели и поведения на основе данных ВКонтакте

Инструмент также включает функции, предназначенные для мониторинга реакции аудитории на государственные СМИ и органы пропаганды. В приведенных ниже примерах показан мониторинг реакции аудитории на трансляции Вконтакте с анализом распределения пользователей по полу, возрасту и городу проживания.

Рисунок 9: Функции анализа аудитории, описанные в просочившихся документах 0DT

Переупаковка для частных клиентов

Графический пользовательский интерфейс, текст, описание веб-сайта генерируются автоматически

Рисунок 10: Архив веб-сайта 0DT

Хотя веб-сайт 0DT (0day[.]llc) в настоящее время отключен, OSINT раскрыла архивные версии своего общедоступного веб-сайта, который содержит раздел “О компании”, презентацию продуктов компании, контактные данные и страницу входа в систему клиента (по состоянию на 26 октября 2020 года).).

В разделе “Продукты” показано, что компания рекламировала четыре основных продукта: “Oracle”, ОН ЖЕ Oracle Filter, “Analytics”, “Control”, ОН ЖЕ 0Control, и “Guardian”, ОН ЖЕ 0Terminal.

Графический пользовательский интерфейс, текст, описание приложения генерируются автоматически

Рисунок 11: Продукты, перечисленные на заархивированном веб-сайте 0DT

Хотя описания этих инструментов в значительной степени ориентированы на корпоративное использование, OSINT показывает, что эти продукты, вероятно, представляют собой переупакованные версии аналитических инструментов, разработанных для SORM, из-за сходства в рекламируемых возможностях и даже использования схожего языка.

Oracle Filter

Oracle Filter позиционируется как фильтрующее приложение для “мониторинга, анализа и применения политик доступа к сетевому трафику” в корпоративных сетях. Инструмент включает в себя такие возможности, как управление доступом к сетевым ресурсам, мониторинг активности пользователей и составление отчетов об активности пользователей с течением времени.

Рисунок 12: Описание продукта для Oracle на заархивированном веб-сайте 0DT

Далее в спецификациях инструмента указывается, что сетевая активность соотносится с “объектами” и представлена в “удобочитаемом формате”, намекая на инструменты анализа и визуализации, разработанные как часть продукта 0DT Label.

Внизу страницы приведен дистрибутив “с руководством по установке и использованию”, ссылающийся на ресурс на веб-сайте 0DT под названием hxxps://0day[.]llc/static/dpi/oracle-filter-distro.zip. Судя по пути к ресурсам, этот продукт, вероятно, использует технологию DPI, разработанную для SORM в рамках государственного контракта.

Аналитика

Инструмент “Аналитика” 0DT – это инструмент конкурентной разведки и должной осмотрительности, который использует данные, собранные из социальных сетей, для составления “социального портрета” конкурентов с учетом завершения оценки рисков. Информационный бюллетень продукта задает следующие вопросы, задаваемые потенциальными клиентами, на которые инструмент может помочь ответить: насколько успешны конкуренты? Честны ли подрядчики? Внесены ли контрагенты в черный список? Кто новый сотрудник?

Рисунок 13: Описание продукта для “Аналитики” на заархивированном веб-сайте 0DT

Рискуя показаться знакомым, инструмент собирает и агрегирует данные из “различных социальных сетей”, позволяя клиентам “объединять информацию об одном предмете из разрозненных источников данных”. На основе собранных данных 0DT утверждает, что клиенты смогут автоматизировать сбор данных и отслеживание “авторов”. Собрав достаточное количество данных, клиенты смогут составить “социальный портрет” субъекта на основе выявленных шаблонов, построить поведенческую модель и вести “подробное досье”, включая “аномальные отклонения в поведении”. Платформа также сформировала бы “график отношений” между объектами, что позволило бы продолжить изучение предмета.

Инструмент может похвастаться дополнительными возможностями сбора данных FININT для юридических лиц, включая исторические финансовые отчеты, заемный капитал, участие в государственных закупках, текучесть кадров, а также индивидуальные возможности “поиска информации” “специалистами” 0DT.

Разработка поведенческих моделей и социальных сетей на основе собранных данных является прямым отражением возможностей, рекламируемых для обозначения в просочившихся документах, демонстрируя, как продукт, продаваемый как “конкурентная разведка”, на самом деле является полноценным инструментом наблюдения, изначально разработанным для российской разведки.

Контроль (ОН же “0Control”, “0MDM”)

0Control – это, как утверждается, система управления мобильными устройствами (MDM), предназначенная для управления “рабочими станциями и мобильными устройствами” с использованием централизованных политик безопасности. Среди перечисленных возможностей, которые отличают 0Control от продуктов конкурентов в соответствии с 0DT:

  • Широкий спектр поддерживаемых устройств (IOS / Android)
  • “Возможность точной настройки под конкретную бизнес-модель”
  • “Энергоэффективные методы определения географического местоположения”

Рисунок 14: Спецификация продукта для 0Control на заархивированном веб-сайте 0DT

Мы смогли проверить службы географического определения местоположения продукта из просочившихся документов, с несколькими скриншотами веб-интерфейсов, помеченных как “0MDM” (рис. 12, рис. 13). Эти скриншоты показывают, что инструмент имеет возможность размещать пользователей на картах, отслеживать передвижение, а также отслеживать обновления мобильных устройств, добавленные или измененные контакты, личные сообщения, установленные приложения, загруженные файлы и подключенные SD-карты.

Рисунок 15: Утечка пользовательского интерфейса панели управления 0Control /0MDM

Графический пользовательский интерфейс, автоматически сгенерированное описание веб-сайта

Рисунок 16: Утечка пользовательского интерфейса панели управления 0Control /0MDM

Рисунок 17: Список приложений, установленных сотрудниками в пользовательском интерфейсе 0Control

Этот продукт, вероятно, использует возможности мониторинга и картографирования из проекта Label, чтобы позволить клиентам 0DT шпионить за сотрудниками. OSINT не смогла раскрыть, как эти приложения MDM распространяются и устанавливаются на устройствах сотрудников, поскольку они не указаны в открытом доступе в магазинах приложений.

Guardian (ОН же “0Terminal”)

Guardian – это продукт, заявленный для использования технологий DPI и изолированной среды для защиты корпоративных сетей, предотвращающий “попадание в Интернет” важной информации. Помимо этого, техническое описание продукта остается расплывчатым и не раскрывает никаких дополнительных возможностей. Потенциальным кодовым названием продукта было бы “0Terminal”, поскольку страница спецификации продукта была размещена по следующему URL: 0day[.]llc/products/0Terminal.

Инструмент для дезинформации

Согласно выводам фирмы по кибербезопасности Nisos, одним из инструментов, заказанных ФСБ и разработанных 0DT, является платформа дезинформации, получившая название SANA, которая, по мнению исследователей Nisos, может означать научный аппарат для анализа социальных сетей (Соцсетный Аналитичесный Научный Аппарат.) SANA, как утверждается, включает в себя набор инструментов анализа и визуализации, созданных поверх Fronton, ботнета Интернета Вещей, вдохновленного Mirai, популярным ботнетом среди киберпреступников. Устройства, скомпрометированные Fronton, автоматически включаются в ботнет, что позволяет SANA использовать более широкую сеть скомпрометированных устройств, с которых операторы FSB могут автоматически создавать ботов на платформах социальных сетей, позволяя FSB обходить проверки платформы социальных сетей на подлинность, направляя весь трафик ботов через скомпрометированные устройства и анонимизированные серверы, включая TOR.

Fronton

Fronton – это ботнет Интернета Вещей, который черпает вдохновение из существующих ботнетов, таких как Mirai. Один из просочившихся документов содержит обзор существующих ботнетов, объясняющий их функционирование, преимущества и недостатки. В документе, в частности, описывается пошаговое функционирование ботнета Mirai, что указывает на желание воспроизвести некоторые методологии, используемые разработчиками Mirai.

Просочившиеся документы, переведенные исследователем безопасности Свитхаком, демонстрируют, что 0DT разработала инструмент с веб-интерфейсом для автоматического сканирования интернета в поисках уязвимых устройств Интернета вещей на основе “отпечатков пальцев”, которые, вероятно, являются цифровыми подписями, используемыми сканером для идентификации определенных типов устройств Интернета вещей (рисунок 17). Операторы инструмента также могут указывать, какие диапазоны IP и порты для сканирования на устройствах, с портами 22 (SSH), 80 (HTTP), 445 (SMB) и 56123, установленными по умолчанию.

Рисунок 17: Пользовательский интерфейс для функции дактилоскопирования приложений для сканирования

Идентифицировав уязвимые устройства, операторы затем могут проводить против них атаки методом перебора по словарю. Словари имен пользователей и паролей настраиваются в инструменте, позволяя операторам загружать списки общих конфигураций имени пользователя и пароля по умолчанию для конкретных моделей устройств (таких как “администратор” / ”admin” или “пользователь” / ”пароль”, рисунок 18). Документы списка изменений также предполагают, что Fronton использует Hydra, инструмент тестирования на проникновение для атак методом перебора.

Изображение

Рисунок 18: Инструкции для операторов по добавлению словарей паролей для атак методом перебора

Изображение

Рисунок 19: Документ с списком изменений, в котором запрашивается замена ключевых слов, таких как “hydra”, потенциально демонстрирующий использование Hydra, инструмента для тестирования на проникновение методом перебора

Затем запросы анонимизируются с использованием предварительно настроенных “цепочек анонимизации”, предоставляемых 0DT (рисунок 19). Просочившиеся документы показывают, что эти сети используют несколько методов для поддержания операционной безопасности (OPSEC) при сканировании Интернета на наличие уязвимых устройств, в том числе:

  • Маршрутизация трафика через VPN от сторонних поставщиков
  • Запутывание кода
  • Удаление русскоязычных строк и кириллических символов
  • Анонимизация аутентификации на скомпрометированных устройствах
  • Закрытие неиспользуемых портов на скомпрометированных устройствах
Изображение

Рисунок 20: Спецификации мер безопасности и анонимизации Fronton

SANA

Создав ботнет скомпрометированных устройств Интернета вещей, 0day разработала комплексную платформу дезинформации с веб-интерфейсом, получившим название SANA, в которой использовались Fronton и распределенная транспортная система для удаленного управления скомпрометированными устройствами.

SANA позволяет пользователям беспрепятственно создавать учетные записи на платформах социальных сетей, включая Facebook, Twitter, Instagram и ВКонтакте, чья активность затем автоматизируется с использованием поведенческих моделей, которые могут быть заданы операторами. 19 марта 2020 года Digital Revolution опубликовала видео, демонстрирующее пошаговое руководство по пользовательскому интерфейсу SANA. включая то, как пользователи могут создавать новые учетные записи, настраивать свое поведение и управлять ими.

Платформа содержит комплексный визуальный конструктор поведенческих моделей для новых учетных записей. При создании новой модели операторы могут определить, сколько еженедельных лайков, комментариев, загрузок фотографий, репостов, присоединенных сообществ и добавленных друзей может накапливать учетная запись.

Операторы также могут определять временные интервалы в сутках для работы учетных записей, что позволило бы им подделывать часовые пояса активности, общий маркер, используемый исследователями дезинформации для обнаружения учетных записей, работающих в определенных часовых поясах. Часовые пояса могут быть потенциальными маркерами попыток скоординированного недостоверного поведения (CIB), поскольку сети аккаунтов, выдающих себя за граждан США или Великобритании, могут размещать сообщения в диапазонах времени ближе к дневному свету в Москве или Пекине.

SANA также позволяет пользователям создавать “модели реакции”, которые будут определять, как боты взаимодействуют с сообщениями. В дополнение к установлению жестких ограничений на количество лайков и комментариев, которые могут быть размещены каждым ботом, платформа также позволяет пользователям определять тон реакций, в том числе типы тем или сообщений для комментариев. Хотя по умолчанию установлено значение “позитивные / универсальные” публикации, пользователи могут выбирать настроение (“позитивное”, “нейтральное” или “нейтральный”), а также типы тем, такие как “универсальный”, “спорт”, ”кино”, “игры” и, что более интересно, “политический”. Чтобы избежать обнаружения с платформ социальных сетей, модели реагирования могут быть настроены на действие с определенными временными задержками и моделями, от 0 до 180 минут.

Платформа также предлагает конструктор для полной дезинформации ботнетов, создавая группы поддельных пользователей в “группах”. Определив поведение учетных записей для нового ботнета, либо с помощью пользовательских моделей, встроенных в платформу, либо с помощью пресетов, таких как “Офисные работники”, операторы могут также указать словари имен и фамилий, чтобы случайным образом отнести их к группе ботов. Хотя словари имен, скорее всего, будут настраиваться операторами, предустановки по умолчанию включают имена как на русском, так и на английском языках, что позволяет предположить, что этот инструмент, вероятно, можно использовать для создания ботов в социальных сетях, выдающих себя за англоговорящих пользователей.

Затем пользователи платформы могут выбрать стороннюю SIM-карту для получения одноразовых паролей (OTP) для регистрации на платформах социальных сетей. Инструмент интегрирован с множеством размещенных в России сервисов, включая SIMSMS, SMS-REG, SMS Activate и другие. Это позволило бы пользователям в дальнейшем обходить правила регистрации в социальных сетях, присваивая уникальные номера каждому сгенерированному боту, которые затем могут быть использованы для регистрации учетных записей с номерами телефонов, что значительно ускоряет процесс регистрации. Затем пользователи могут определить возрастной диапазон учетных записей ботов в группе от 18 до 65 лет, а также количество ботов, которые будут созданы для группы. Затем пользователи заполняются на странице группы случайными паролями, датами рождения и полами. Рождается “Эдвард Арамов”.

Затем скрипт автоматически открывает Facebook в браузере, заполняет форму регистрации пользователя именем бота, фамилией, номером телефона, датой рождения, паролем и полом. После регистрации SANA автоматически извлекает OTP из выбранной сторонней службы OTP, которую пользователям необходимо вручную вставить в окно браузера, чтобы успешно зарегистрироваться на Facebook.

Как только пользователи SANA зарегистрируют достаточное количество учетных записей, они смогут запускать целые кампании через платформу. “Новости” – это, вероятно, название, данное 0DT конкретным кампаниям, проводимым операторами, где пользователи SANA могут поручать группам ботов реагировать на определенные темы, выбирая источник, группу и модуль реагирования. Дополнительные настройки позволяют пользователям SANA указывать страницы Facebook для подписки, а также идентификатор сообщества, что предполагает, что инструмент также может публиковать сообщения в группах Facebook или других закрытых сообществах. Пользователи также могут использовать определенные ключевые слова для запуска реакции из бот-сетей, а также набор тонов для реакции, с предустановками по умолчанию, включая “Одобрение” и “Осуждение”.

На основе реакции ботам предлагается идентифицировать соответствующие сообщения на целевой странице. Автоматизированный скрипт переходит на страницу, следует по ней и публикует комментарий, определяемый моделью реакции ботов, а также настройками “infopod”. В примере, продемонстрированном в видео, опубликованном Digital Revolution, бот, работающий по модели поведения “Офисный работник” в возрасте от 20 до 30 лет, определил целевую страницу, StopGame.ru , и целевой пост с упоминанием видеоигры Cyberpunk 2077, название которой было определено пользователем SANA в качестве ключевого слова для запуска. На основе настройки тона, установленной на “Одобрение”, пользователь публикует восторженный отзыв на пост StopGame: “Я не могу не согласиться”.

Профиль компании

Сотрудники

В просочившихся документах названы 8 сотрудников, работающих в 0DT:

Используя OSINT, мы смогли идентифицировать еще 4 сотрудников:

Это число из 12 сотрудников соответствует количеству сотрудников, перечисленных онлайн для компании. Кроме того, идентифицированные сотрудники демонстрируют тесную связь компании с факультетом вычислительной математики и кибернетики Московского государственного университета (МГУ) (кафедра информационной безопасности), что позволяет предположить, что директор компании Гилязов использует МГУ в качестве прикрытия для деятельности 0DT.

Павел Ситников (ОН ЖЕ Freedomf0x, Flatl1ne) – бывший российский киберпреступник, арестованный в мае 2021 года российскими властями за продажу исходного кода вредоносного ПО на своем канале Telegram. Отчет Нисоса о Fronton публично связал его с 0DT, указав компанию, указанную в его учетной записи Linkedin, и оценив, что Ситников “вероятно, обладает обширными знаниями о функциональности инфраструктуры Fronton”.” Согласно интервью, проведенному в июле 2022 года, Ситников устроился на работу в 0DT в августе 2021 года после того, как с ним связался Гилязов до начала судебного разбирательства, что стало “плюсом в глазах суда”. Ситников утверждал, что он был нанят в качестве консультанта и не участвовал в разработке Fronton. Кроме того, Ситников утверждал, что Fronton был тщательно продуманной уловкой, используемой спецслужбами для обоснования более высоких бюджетов. Он уволился из 0DT в мае 2022 года (LinkedIn) и основал X-Panamas, компанию по кибербезопасности, с другим сотрудником 0DT, Ольгой Харамцовой.

Используя МГУ в качестве прикрытия

Компания, основанная Русланом Раджабовичем Гилязовым в декабре 2011 года, использует факультет вычислительной математики и кибернетики (ВМК) МГУ в качестве прикрытия для своей деятельности и в качестве рекрутинговой платформы, привлекая студентов факультета к исследованиям по своим проектам. Просочившаяся переписка между Гилязовым и Министерством связи России демонстрирует, что Гилязова использует MSU и 0DT взаимозаменяемо для обмена с российским правительством, объясняя, что “легче работать через 0DT”, называя администраторов МГУ “жадными до денег крокодилами”. Далее он отмечает, что также легче работать через частное предприятие, такое как 0DT и МГУ, поскольку “на практике [0DT] – это то же самое, что и МГУ, потому что он использует тот же пул сотрудников университета [sic, относится к МГУ]” и что, в любом случае, “0DT равен МГУ с точки зрения информационной безопасности” (рисунок 2, рисунок 3). Мы смогли проверить это утверждение, перечислив список сотрудников 0DT выше – Гилязов, Анашин и Захаров указаны как преподаватели на веб-сайте VMKЖаболенко, Елисеев (LinkedIn) и Николаев – все выпускники МГУ. У этих ученых есть длинные списки опубликованных научных работ по темам информационной безопасности, анализа данных и криптографии.

Текст, описание письма генерируется автоматически

Рисунок 21: Утечка переписки между Гилязовым и Министерством связи

Текстовое описание генерируется автоматически

Рисунок 22: Переведенный документ

Кроме того, в переписке упоминается, что технология 0DT DPI “основана на технологиях МГУ после 10 лет исследований”, и что 0DT поддерживается “центром 12 и 18 FSB”. (Рисунок 4, рисунок 5) Это еще раз демонстрирует глубокие отношения между компанией и МГУ, в дополнение к отношениям между 0DT и российской разведкой.

Текстовое описание генерируется автоматически

Рисунок 23: Утечка переписки между Гилязовым и Министерством связи

Текстовое описание генерируется автоматически

Рисунок 24: Переведенный документ

Внутреннее функционирование

Digital Revolution также опубликовала документ от 19 февраля 2018 года, содержащий условия контракта для сотрудников 0DT. Документ показывает, что сотрудников просили приходить и уходить с работы, отправляя сообщения Ольге Храмцовой через Telegram, называя Храмстрову “Административно-хозяйственной” (“АХЧ”) Директор. Максим Николаев также упоминается в качестве менеджера, а Гилязов – в качестве генерального директора.

Рисунок 25: Утечка внутреннего документа

Клиентура

Просочившиеся документы показали, что следующие компании являются клиентами 0Day Technologies:

Сектор Имя
Добыча АО “УЭК”
Добыча АО УК “Кузбассразрезуголь”
Добыча ОАО “УГМК”
Транспорт Российские железные дороги
Транспорт АО НПК “Уралвагонзавод”
Транспорт АО “Новая производственная компания”
Транспорт TransGroup AS LLC
Финансовые Сбербанк
Финансовые Петрокоммерц
Финансовые Московский банк реконструкции и развития
Телекоммуникации Ростелеком
Телекоммуникации Вымпелком
Энергия Росатом
Энергия АО “Техсабэкспорт”
Энергия Mosenegro
Правительство Министерство здравоохранения
Правительство FSB (8-й центр, 16-й центр, 18-й центр)
Правительство Министерство внутренних дел (Бюро специальных технических мер)

FSB

8-й центр

8-й центр ФСБ (ОН же Центр защиты информации и специальной связи) является подразделением ФСБ по защите от кибербезопасности.

16-й центр (подразделение 71330)

16-й центр ФСБ (ОН же Подразделение 71330, Центр наблюдения за электронными коммуникациями, TsRRSS) является подразделением SIGINT в ФСБ. В подразделении 71330 находятся команды, которые проводили кибератаки на критически важную национальную инфраструктуру в период с 2013 по 2020 год, как публично приписали Министерство юстиции США и NCSC Великобритании в марте и апреле 2022 года соответственно. Правительства Великобритании и США также приписали деятельность, связанную с энергичным медведем (ОН ЖЕ Стрекоза, Крадущийся йети, медведь-берсерк), командам подразделения 71330. Хотя известно, что подразделение нацелено на CNI за рубежом в США, Великобритании и Европе, правительство Великобритании также считает, что подразделение 71330 отвечает за проведение киберопераций против внутренних целей, включая диссидентов, видных критиков Кремля, а также широкую российскую общественность.

Рисунок 26: Структура российских APT-групп

Шпионаж против внутренних целей, проводимый подразделением 71330, включает попытки получить доступ к почтовому ящику электронной почты помощника Алексея Навального, главного лидера оппозиции, в сентябре 2017 года. Российский олигарх в изгнании Михаил Ходорковский также стал мишенью подразделения в 2020 году, включая попытки фишинга пресс-секретаря олигарха, а также сбор разведданных о досье [.]center, веб-сайте утечки, созданном Ходорковским для разоблачения коррупции в Кремле. На веб-сайте, в частности, была размещена информация о FSB.

18-й центр

18-й центр ФСБ (ОН же Центр информационной безопасности, подразделение 64829) является подразделением, ответственным за СОРМ, контрразведку и внутреннее наблюдение. Несмотря на эту компетенцию, Министерство юстиции США в марте 2017 года предъявило хакерам из подразделения 64829 обвинения в взломе Yahoo в 2014 году, что привело к краже информации, относящейся к более чем 500 миллионам учетных записей Yahoo. Подразделение 64829 также было обвинено США в нападении на критическую инфраструктуру в 2021 году.Подразделение также было основным контактным лицом для сотрудничества с западными правоохранительными органами, такими как ФБР, в борьбе с киберпреступностью.

Документы, обнародованные Digital Revolution, показывают, что работа 0Day над Fronton была закуплена подразделением 64829.

Где они сейчас?

В отчете Nisos о Fronton в мае 2022 года удалось идентифицировать активный демонстрационный экземпляр для SANA (sana.0day[.]llc) в основном домене 0DT (0day[.]llc – ранее 0day[.]ru). Общедоступная инфраструктура 0DT больше недоступна и была перенесена за инфраструктуру Cloudflare (172.67.179[.]90).

История занятости 0DT может указывать на то, что компания все еще активна, а новые сотрудники присоединились совсем недавно, в марте 2022 года.

Благодарности

Отдельное спасибо @Swithak за предоставление доступа к утечкам и общее руководство.

Спасибо @_John_Doyle за дополнительную информацию о принадлежности к подразделению 71330.

admin
Author: admin