Русскоязычная кибергруппировка Turla маскирует операции через спутники

«Лаборатория Касперского» раскрыла оригинальный механизм сокрытия физического местоположения командных серверов, использующихся группировкой, стоящей за сложной и масштабной кампанией кибершпионажа Turla.

Как выяснили эксперты, злоумышленники используют уязвимость в глобальных спутниковых сетях. Речь идёт о так называемом «одностороннем» спутниковом интернет-доступе, который обычно используется в географически удалённых населённых пунктах, где другие виды подключения к Сети либо отсутствуют, либо очень дороги и медленны. При использовании «одностороннего» соединения пользователь отправляет свой запрос через наземный канал (кабель или GPRS), а ответ приходит через спутник.

Концепция «одностороннего» спутникового веб-доступа обеспечивает относительно высокую скорость загрузки данных. Однако существует и недостаток: информация передаётся в незашифрованном виде, что позволяет при наличии специального оборудования и программного обеспечения перехватывать трафик пользователя. Именно этим и воспользовалась кибергруппировка Turla для того, чтобы скрыть местоположение серверов, с помощью которых она управляет атаками и где хранит собранные данные.

Схема работы системы Turla выглядит следующим образом: сначала атакующие анализируют трафик, исходящий от спутника, чтобы определить, какие пользователи, точнее IP-адреса, в настоящее время онлайн. Потом они выбирают тот IP-адрес, который будут использовать для маскировки своего сервера. После этого злоумышленники направляют зараженным Turla компьютерам команды на отправку данных на выбранный IP-адрес. Данные при этом проходят через традиционные каналы к оператору спутникового Интернета, а затем через спутник попадают к ничего не подозревающему пользователю. Сам пользователь вряд ли заметит, что, помимо запрашиваемого контента, он получил что-то ещё. Обычно организаторы Turla инструктируют зараженные компьютеры отправлять данные в те порты компьютера, которые по умолчанию закрыты. Откроет их тот самый командно-контрольный сервер, и пакеты с данными, таким образом, перейдут на него.

Нужно заметить, что злоумышленники использует преимущественно провайдеров, работающих на Ближнем Востоке и в Африке: в частности, данные отсылаются на IP-адреса из Афганистана, Ливана, Конго, Ливии, Нигера, Нигерии, Сомали и Замбии. Делается это ради дополнительной маскировки: спутники, работающие в обозначенном регионе, чаще всего не покрывают страны Европы и Северной Америки, делая расследование этих атак экспертами по безопасности, находящимися вне региона, невозможным.

За кибершпионской кампанией, предположительно, стоят русскоязычные организаторы. От действий злоумышленников пострадали сотни пользователей в более чем 45 странах, в частности правительственные и дипломатические учреждения, военные, образовательные, исследовательские организации, а также фармацевтические компании.

Подробнее о расследовании «Лаборатории Касперского» можно узнать здесь. 

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий