Atacul din cer: Hackerii se folosesc de sateliți pentru a rămâne în umbră
În timp ce investigau gruparea de spionaj cibernetic Turla, cercetătorii Kaspersky Lab au descoperit modalitatea prin care acesta reușește să evite depistarea activității sale și localizarea geografică.
Turla este o grupare de spionaj cibernetic sofisticată, formată din vorbitori de limba rusă, care activează de mai bine de 8 ani. Atacatorii care se ascund în spatele grupării Turla au infectat sute de calculatoare din peste 45 de țări, inclusiv România, Kazakhstan, Rusia, China, Vietnam și Statele Unite ale Americii.
Printre tipurile de organizații care au fost infectate se numără: instituții guvernamentale și ambasade, precum și organizații din domeniul militar, al educației și cercetării și companii farmaceutice. În stadiul inițial al atacului, backdoor-ul Epic verifică profilul victimelor.
„Informaţiile căutate de malware odată ce a infectat un computer sunt informaţii confidenţiale. Cât despre domeniile de interes, caută în principal documente sau emailuri legate de NATO, Uniunea Europeană şi ce ţine de politica de energie a UE. Căutările se fac pe bază de cuvinte cheie”, spune Ștefan Tănase.
La nivel global au fost atacate ministere de Interne, ministere de Comerţ, ambasade şi ministere de Externe, dar şi nişte ţinte educaţionale, de cercetare, dar şi companii private. „România este pe locul şapte ca număr de victime, iar ca site-uri infectate care distribuie acest atac, suntem pe primul loc, cu şase site-uri”, explicau experții, anul trecut, când a fost descoperită campania Epic Turla.
Pentru a-și păstra anonimatul, gruparea folosește slăbiciunile din securitatea rețelelor de satelit globale, spun specialiștii Kaspersky.
Doar în cazul țintelor cu o miză foarte mare, atacatorii folosesc un mecanism de comunicare complex prin satelit, într-un stadiu al atacului mai avansat, fapt care îi ajută să-și ascundă urmele.
Comunicațiile prin satelit sunt, cel mai adesea, cunoscute drept un instrument de comunicare sigur pentru transmisia TV; cu toate acestea, sunt folosite și pentru a oferi acces la internet. Astfel de servicii sunt frecvent folosite în zine îndepărtate, unde toate celelalte modalități de acces la internet sunt fie instabile, fie au o conexiune lentă sau sunt indisponibile. Una dintre cele mai răspândite și necostisitoare tipuri de conexiune la internet prin satelit este asa-numita conexiune de tip downstream-only.
În acest caz, cererile de ieșire din PC-ul unui utilizator sunt comunicate prin linii convenționale (conexiune prin fir sau GPRS), traficul de intrare provenind prin satelit. Această tehnologie permite utilizatorului să obțină o viteză de descărcare relativ rapidă. Cu toate acestea, există un mare dezavantaj: întregul trafic descărcat se întoarce către computer necriptat. Orice utilizator obișnuit, cu softul și echipamentul potrivit ar putea intercepta, cu usurință, traficul și obține acces la toate informațiile pe care utilizatorii acestor legături le descarcă.
Gruparea Turla profită de această slăbiciune într-un mod diferit, folosind-o pentru a-și ascunde locul unde se află serverele de comandă și control, una dintre cele mai importante părți ale infrastructurii malware. Serverul de comandă și control reprezintă, în esență, o “bază” pentru folosirea malware-ului asupra dispozitivelor vizate. Localizarea unui astfel de server poate conduce cercetărorii către descoperirea unor detalii despre actorul aflat în spatele acestei operațiuni. În continuare, sunt detaliate o serie de acțiuni prin care gruparea Turla evită astfel de riscuri:
1. Gruparea „ascultă”, mai întâi, traficul descărcat prin satelit, pentru a identifica adresele IP active ale utilizatorilor de internet prin satelit, care sunt conectate în acel moment.
2. Atacatorii aleg apoi o adresă IP online pentru a fi folosită în mascarea serverul de comandă și control, fără ca utilizatorul legitim să observe acest lucru.
3. Calculatoarele infectate de Turla sunt apoi programate să trimită informații către IP-urile selectate ale utilizatorilor obișnuiți de internet prin satelit. Informația călătorește prin linii convenționale către teleporturile furnizorilor de internet prin satelit, apoi mai departe către satelit și, în final, din satelit către utilizatorii cu IP-urile selectate.
Interesant este că utilizatorii a căror adresă IP a fost folosită de atacatori pentru a primi informații dintr-un calculator infectat, vor primi, de asemenea, aceste pachete de informații care sunt, însă, greu de observat. Acest lucru se întâmplă din cauza faptului că, atacatorii Turla setează calculatoarele infectate să trimită informația către porturi care, în majoritatea cazurilor, sunt închise în mod implicit. Prin urmare, computerul utilizatorului va livra doar aceste pachete, în timp ce serverul de comandă și control al grupării Turla, ce ține aceste porturi deschise, va primi și procesa informațiile transmise.
Un alt aspect interesant privind tacticile actorului Turla este că acesta tinde să folosească furnizorii de servicii de internet prin satelit situați în Orientul Mijlociu și țări din Africa. În timpul analizei, experții Kaspersky Lab au identificat faptul că gruparea Turla folosește IP-urile unor furnizori aflați în țări precum Congo, Liban, Libia, Niger, Nigeria, Somalia și Emiratele Arabe Unite.
Semnalele prin satelit folosite de către operatorii acestor țări nu acoperă, de obicei, teritorii din Europa și America de Nord, ceea ce, investigarea unor astfel de atacuri mult mai dificilă pentru cercetătorii în securitate din țările aflate în afara continentului.
„În trecut, am mai văzut cel puțin trei actori diferiți care foloseau linkuri de internet prin satelit pentru a-și masca operațiunile. Dintre aceștia, soluția dezvoltată de gruparea Turla este cea mai interesantă și neobișnuită.”, a explicat Ștefan Tănase, Senior Security Researcher în cadrul Kaspersky Lab. „Sunt capabili să atingă cel mai înalt nivel al anonimatului exploatând o tehnologie utilizată la scară largă – internetul prin satelit de tip one-way broadband. Atacatorii pot fi oriunde pe raza satelitului ales, o suprafață care poate depăși mii de km2. “Acest lucru face aproape imposibilă localizarea atacatorului. Pe măsură ce folosirea acestor metode devine din ce în ce mai cunoscută, este important ca administratorii de sistem să folosească strategii de apărare pentru preîntâmpinarea unor astfel de atacuri.”, a explicat Ștefan Tănase.