Відрізати країну від інтернету. Як ФСБ збиралася перетворити ваші гаджети в зомбі

Хакери з Digital Revolution, отримали популярність в 2018 р. завдяки розкриттю діяльності афілійованого з ФСБ НДІ "Квант", знову дали про себе знати. І цього разу мішенню стала пов'язана з російською спецслужбою структура - компанія з символічною назвою 0ДТ (ТОВ "Зироудэй технолоджіс"). Символічним, оскільки це пряме відсилання до терміну "Загроза нульового дня", обозначающему такі уразливості і шкідливий софт, які ще не усунуто і від яких поки немає захисних механізмів. Простіше кажучи, у розробників є 0 днів для того, щоб виправити вразливість або створити механізм захисту, тобто зробити це потрібно на вчора, т. к. атака вже здійснена.

Згідно з даними, оприлюдненими хакерами 18 березня, і вивченим "россійською службою BBC", компанія 0ДТ, зареєстрована в 2011 р. за адресою р. Москва, вул. Введенського, будинок 23а, будова 3 і має статутний капітал у розмірі лише в 100 тис. рублів, на замовлення ФСБ разом з виконувала також замовлення МВС РФ ЗАТ "ИнформИнвестГрупп" в 2017-2018 роках працювала над проектом з організації масштабних DDoS-атак на національні DNS-сервери "однієї невеликої країни" з метою відрізати її від інтернету на кілька годин. Спеціально для цього були написані кілька версій програм "Фронтон" ("Фронтон", "Фронтон-3Д" і "Фронтон-18"). Цей софт був призначений для створення нового типу ботнету - з смарт-пристроїв на підставі концепції інтернету речей (internet of things, IoT), тобто концепції мережі різного роду пристроїв, здатних взаємодіяти між собою. До речі, за прогнозами аналітиків, до 2020 р. до мережі будуть підключені вже 20 млрд гаджетів.

Ботнети для атак на сервери використовуються вже давно. На їх ефективність як раз і вказували автори оприлюднених документів. Приміром, згадувався ботнет Mirai, в який входили сотні тисяч IoT-гаджетів, з допомогою яких в 2016 р. зловмисники з New World Hackers успішно вдарили по американській компанії Dyn, залишивши користувачів по всьому світу без доступу до безлічі сайтів (Twitter, Reddit, PayPal і т. д.). І якщо творці Mirai використовували заражені принтери, роутери і т. п., то 0ДТ і "ИнформИнвестГрупп" запропонували створити ботнет зі смарт-асистентів і систем смарт-будинок, IP-камер і цифрових відеорекордерів, які володіють потужними каналами зв'язку, а значить і будуть результативнішими в проведенні DDoS. Своїх жертв розробники планували шукати або через віртуальну приватну мережу, або Tor браузер, що дозволяє зберегти анонімність в мережі.

Ласкаво просимо в Матрицю

Сама по собі компанія 0ДТ з'явилася не з нізвідки. Її директор - 31-річний Гілязов Руслан Раджабович - має давній досвід співпраці з ФСБ і вже потрапляв під гарячу руку Digital Revolution. У квітні 2019 р. хакери опублікували його звернення до міністра зв'язку і масових комунікацій РФ, в якому на той час молодший науковий співробітник лабораторії Математичних проблем комп'ютерної безпеки (МПКБ) МГУ (нині Гілязов, згідно профілю в LinkedIn, вже завлабораторією інформаційної безпеки МДУ), намагався переконати міністра в тому, що тільки його компанія може допомогти Роскомнагляду заблокувати Telegram. У документі він вказав "три основних великих вектора взаємодій: DPI (глибокий аналіз пакетів), цифрова економіка, пакет Ярої та СОРМ. (Система технічних засобів для забезпечення функцій оперативно-розшукових заходів)". Гілязов запевняв, що 0ДТ "володіє кращими рішеннями для блокування заборонених сайтів, проксі, VPN, а також месенджера Telegram". При цьому скаржився на те, що Роскомнадзор вирішив використати свої потужності, зокрема, "Ростелекому".

Гілязов дуже хотів отримати контракт на розробку софта для блокування Telegram, оскільки він обіцяв величезні гроші - більше 18 млрд рублів за чотири роки (з 2018 по 2021 р.). В якості одного з аргументів він також наводив свої зв'язки з ФСБ, а саме підтримку його компанії 12 і 18 управліннями спецслужби.

ФСБ, до речі, ще в квітні 2014 року, тобто до початку російської агресії проти України та Заходу, сертифікувала дітище іншої компанії Гилязова, Setec, як і 0ДТ створеної в 2011 р. - програмно-апаратний комплекс (ПАК) "Трініті-АПМДЗ", який входить до складу ПАК "Трініті" і який позиціонуються як захисний механізм "від несанкціонованого доступу не тільки на серверах і робочих станціях, а також в ноутбуках і ряд планшетних комп'ютерів".

Гілязов презентував "Трініті" на конференції "Моринтех-практика. Інформаційні технології в суднобудуванні", яка пройшла в червні 2016 р. в Санкт-Петербурзі. За його словами, ця платформа призначена для побудови ІТ-інфраструктури захищених тонких клієнтів і впровадження рішень на її основі в суднобудуванні". Варто відзначити, що ряд російських суднобудівних компаній потрапили в санкційний список США: 29 липня 2014 р. - Об'єднана суднобудівна корпорація; 30 липня 2018 р. - АТ "ВАД", суднобудівний завод "Затока". Ясна річ, що в таких умовах компанії потребували якоїсь закритої захисній системі.

Однак свою "Трініті" Гілязов просував і в іншому напрямку. Так, 24 травня 2018 р. на сайті компанії "Лантер" ("Лабораторія Нових Термінальних Рішень"), яка входить в групу компаній "Ланіт", з'явилося повідомлення про створену "Ланіт - Інтеграція" спільно з Setec і на базі "Трініті" системи Home Sourcing для організації дистанційної роботи. "Рішення дозволяє підтримувати високу продуктивність праці фахівців, які працюють віддалено, і забезпечує виконання закону про захист персональних даних", - заявили на сайті "Лантер". Примітно, що роком раніше в офіс "Ланіта" нагрянули з обшуками "друзі" Гилязова - співробітники ФСБ.

І не менш важливо й те, що якраз паралельно зі створенням нібито системи для віддаленої роботи (Home Sourcing) компанія Гилязова 0ДТ розробляла вищезгаданий ботнет з смарт-гаджетів для проведення DD0S-атак. Не зайвим буде також вказати і той факт, що Руслан Гілязов є автором наукової роботи "Оцінка часу, що пройшов між двома подіями, в операційній системі". У ній він розглядав "вплив операційної системи, час реакції захисного програмного забезпечення на шкідливий вплив", а також "деякі властивості евристики для конкретно обраного програмного продукту". В роботі описується функціонування таймерів в операційних системах, в тому числі Windows, і мова йде, до всього, про можливості маніпуляцій з часом в ОС. Тобто Гілязов і його колеги - фахівці, по суті, обмані ОС, і при цьому розробили системи, які під виглядом захисних дають доступ до домашніх гаджетів.

Прибрати конкурента?

Був реалізований проект по створенню такого ботнет, поки невідомо. Проте хакери з Digital Revolution вже вдруге "злили" Гилязова, продемонструвавши вразливість не тільки особисто, але і компаній, афілійованих з ФСБ. Причому сталося це на стадії підготовки нової технології блокування Telegram після того, як Роскомнагляд програв війну з месенджером Павла Дурова. 8 жовтня минулого року голова Роскомнагляду Олександр Жаров повідомив, що його відомство створює нову систему, яка дозволить перекрити доступ до Telegram. За словами Жарова, месенджеру залишився рік. Система ж заснована на технології DPI, яку, до речі, пропонував міністру зв'язку використовувати Гілязов в оприлюдненій у квітні 2019 р. технології. Обкатує Роскомнагляд свою систему в Уральському федеральному окрузі

Компанії Гилязова пресою в списку підрядників не згадувалися. І не виключено, що в ньому бачать конкурента. Адже орієнтовний бюджет проекту по блокуванню Telegram, як повідомляла BBC, може скласти 20 млрд рублів. В умовах занепаду бюджету, коли вартість нафти ставить антирекорд за антирекордом, а також на тлі переформатування держави в рамках моделі довічного правління Путіна, в Росії очевидно боротьба за грошові потоки.

І є сенс припустити, що хакери DR з одного боку, можуть бути хактівістами-добровольцями, представниками "цифрового підпілля". А з іншого боку, вони послідовно б'ють по ФСБ. У 2018 р., повторимося, вони зламали сервер НДІ "Квант" і явили світові дані про систему моніторингу соцмереж з метою аналізу спецслужбами протестних настроїв. У 2019 р. DR атакувала підрядника ФСБ - компанію "Сайтек", яка працювала над деанонимизацией користувачів Tor, дослідженням уразливості торентів і збором інформації про користувачів соцмереж. І цілком ймовірно, що таке знищення репутації ФСБ є ілюстрацією прихованої війни спецслужб за останні шматки.