Хакерская группа Turla захватывает спутники для маскировки

Россия+7 (910) 990-43-11
Обновлено: 2024-02-11

Turla – это сложная преступная группировка, которая ведет активную деятельность уже более 8 лет. Лица, состоящие в группировке, инфицировали сотни компьютеров в более чем 45 странах, в том числе с Казахстане, России, Китаем и Соединенных Штатах.

Атакам подвергаются государственные учреждения и посольства, а также военные, образовательные, научно-исследовательские и фармацевтические учреждения.

На начальном этапе атаки вредоносное программное обеспечение Epic проводит профилирование жертв. После обнаружения цели злоумышленники используют механизм спутниковой связи, что помогает им замести свои следы.

Карта целей киберпреступной группы Turla

Спутниковая связь, в первую очередь, известна, как средство передачи телевизионного сигнала. Однако, эта технология также может использоваться для обеспечения доступа в интернет. Такие услуги обычно используются в местах, где наземные интернет-соединения неустойчивы, медленны или вообще недоступны. Одним из самых распространенных и относительно недорогих видов подключения к интернету на основе спутниковой связи является, так называемый, вызов к клиенту.

В этом случае исходящие запросы с компьютера пользователя передаются традиционными каналами передачи (например, проводное соединение, радио или GSM), а весь входящий трафик приходит со спутника. Эта технология позволяет пользователю получить высокую скорость загрузки. Но имеет большой недостаток: весь трафик до клиента, возвращается к компьютеру в незашифрованном виде.

Злоумышленник, имеющий соответствующий набор доступного оборудования и соответствующее программное обеспечение, может перехватить трафик и получить доступ ко всем данным, загружаемым пользователями этих соединений.

Группа Turla использует эту слабость, прежде всего, для того, чтобы скрывать расположение своих серверов управления, которые представляют собой один из важнейших элементов вредной инфраструктуры.

Сервер управления – это своего рода командный пункт вредоносного программного обеспечения, устанавливаемого на машинах, подвергающихся атаке. Определение местоположения такого сервера может привести правоохранительные органы к информации о группировке, стоящей за данной операцией.

Эксперты из «Лаборатории Касперского» определили, каким образом группа Turla избегает такого риска:

  • В начале злоумышленник подслушивает передачу со спутника для выявления активных IP-адресов пользователей, которые в данный момент находятся онлайн.
  • Затем выбирается IP-адрес, который без ведома пользователя используется для маскировки сервера управления.
  • Машины, зараженные группировкой Turla, затем получают инструкции, чтобы передавать данные в направлении выбранных IP-адресов.

Что интересно, «легальный» пользователь, IP-адрес которого был использован, так же будет получать информацию с зараженной машины, однако, с большой вероятностью, не заметит их.

Это связано с тем, что киберпреступники из группировки Turla инструктируют заражены машины, чтобы те отправляли данные только для определенных портов, которые, в большинстве случаев, по умолчанию закрыты. А значит, компьютер легального пользователя потеряет эти пакеты, в то время, когда сервер управления группы Turla, который держит эти порты открытыми, будет получать и обрабатывать полученные данные.

Другим интересным аспектом тактики, используемой кибер-преступниками из группировки Turla, является то, что они используют поставщиков спутниковой связи, расположенных в государствах Ближнего Востока и Африки.

В своем исследовании эксперты из «Лаборатории Касперского» отметили, что Turla использует IP-адреса поставщиков, расположенных в Конго, Ливане, Ливии, Нигерии, Сомали и Объединенных Арабских Эмиратах.

Сигнал со спутника, используемые операторами в этих странах, как правило, не охватывает территории Европы и Северной Америки, что очень затрудняет большинству исследователей безопасности, проведение расследований в отношении таких атак.

«В прошлом мы определили, по крайней мере, три различные группировки, использующие спутниковые подключения к интернету для маскировки своих операций. Решение, разработанное группировкой Turla на их фоне самое интересное и необычное. Злоумышленники достигают высокого уровня анонимности путем использования широко распространенной технологии однонаправленного спутникового интернета. Злоумышленники могут находиться в любом месте в зоне покрытия выбранного вами спутника, то есть на области, которая превышает тысячи квадратных километров», – сказал Стиф Танас, старший исследователь по вопросам безопасности «Лаборатория Касперского».

Это практически делает невозможным отслеживание злоумышленников. Из-за того, что использование такого рода методов становится все популярнее, администраторы должны использовать соответствующие стратегии защиты сетей в целях смягчения таких атак.


5.0/4