Svet

Grupa sajber-špijuna sa ruskog govornog područja koristi satelite kako bi osigurala svoju anonimnost

Istražujući Turlu, grupu ozloglašenih sajber-špijuna sa ruskog govornog područja, stručnjaci kompanije Kaspersky Lab otkrili su na koji način ona sakriva svoju aktivnost i fizičku lokaciju. Kao rešenje za očuvanje anonimnosti, grupa koristi slabosti u bezbednosnim sistemima globalnih satelitskih mreža.

Turla je vešta sajber-špijunska grupa koja je aktivna više od 8 godina. Napadači iz ove grupe su zarazili stotine računara u više od 45 zemalja sveta, među kojima su Kazahstan, Rusija, Kina, Vijetnam i Sjedinjene Države. Vrste organizacija koje su zaražene uključuju državne institucije i ambasade, kao i vojne, obrazovne, istraživačke i farmaceutske kompanije. Tokom početne faze, backdooor program Epic pravi profile žrtvi. Samo za najbitnije mete, u kasnijim fazama napada, grupa koristi široko rasprostranjene mehanizame satelitske komunikacije kako bi sakrila tragove.

Capture1Satelitska komunikacija je uglavnom poznata kao sredstvo emitovanja televizije i način brze i sigurne komunikacije; međutim, ona se koristi i za pristup internetu. Takve usluge se uglavnom koriste u udaljenim krajevima sveta, gde su alternativni načini pristupa internetu ili nestabilni i spori ili nepostojeći. Jedan od najrasprostranjenijih i najmanje skupih vrsta internet konekcije preko satelita je takozvana „downstream-only“ („nizvodna“) konekcija.

U ovom slučaju, odlazeći zahtevi sa korisnikovog PC računara sprovedeni su putem standardnih linija (žičnom ili GPRS konekcijom), a sav dolazni saobraćaj dolazi sa satelita. Ova tehnologija dozvoljava korisniku da preuzima podatke relativnom velikom brzinom. Međutim, postoji jedna velika mana: sav „nizvodni“ saobraćaj se vraća na PC uređaj u kodiranom obliku. Svaki korisnik loših namera, sa odgovarajućim setom ne toliko skupe opreme i pravim softverom, može da presretne signal i pristupi svim podacima koje preuzimaju korisnici ovih linkova.   

Grupa Turla iskorišćava ovu slabost na različite načine kako bi sakrila lokaciju glavne komande i kontrolnih servera (C&C), jedog od najbitnijih delova ove maliciozne infrastructure. C&C server je, u suštini, „početna baza” malvera koji je postavljen na ciljanim mašinama. Otkrivanje lokacije jednog takvog servera istraživačima može pružiti detaljnije informacije o akterima koji stoje iza određene operacije. Evo kako grupa Turla izbegava ove rizike:

  1. U početku „osluškuje” silazne podatke sa satelita, kako bi identifikovala aktivne IP adrese korisnika satelitskog interneta koji su na mreži u tom trenutku.

  2. Zatim, izaberu jednu od aktivnih IP adresa koja će koristiti kao maska za C&C server, bez znanja pravog korisnika.

  3. Zaraženim uređajima je potom naređeno da usmeravaju podatke ka odabranim IP adresama redovnih korisnika satelitskog interneta. Podaci putuju standardnim linijama do zemaljskih stanica provajdera satelitskog interneta, zatim do satelita i konačno od satelita do korisnika na odabranim IP adresama.     

Ono što je interesantno jeste da će i legitimni korisnici IP adresa, onih koje se koriste za prijem podataka sa zaraženog uređaja, takođe primiti ove podatke, ali neće obratiti pažnju na njih. To se dešava zato što Turla napadači nalažu zaraženim uređajima da šalju podatke portovima koji su, u većini slučajeva, zatvoreni. Stoga, PC uređaj legitimnog korisnika jednostavno će odbaciti ove podatke, dok ih C&C server Turla grupe, koji drži portove otvorenim, prima i obrađuje.

Druga interesantna činjenica u vezi sa taktikom grupe Turla jeste da uglavnom koriste provajdere satelitskog interneta koji se nalaze u srednjoevropskim i afričkim zemljama. Tokom istraživanja, stručnjaci kompanije Kaspersky Lab su uočili da grupa Turla koristi IP adrese provajdera u zemljama kao što su Kongo, Liban, Libija, Niger, Nigerija, Somalija ili Ujedinjeni Arapski Emirati.
CaptureSatelitski signal koji koriste operateri u pomenutim državama obično ne pokriva teritoriju Evrope i Severne Amerike, što istraživačima bezbednosti otežava proučavanje ovih napada.

„U prošlosti smo imali makar tri različita aktera koji koriste linkove satelitskog interneta kako bi zamaskirali svoje aktivnosti. Od njih, najinteresantnije i najneobičnije je rešenje koje je razvila grupa Turla. Oni su sposobni da dostignu krajnji nivo anonimnosti koristeći široko rasprostranjenu tehnologiju – „nizvodni” satelitski internet. Napadači se mogu nalaziti bilo gde u opsegu izabranog satelita, u oblasti koja može da bude udaljena i više hiljada kvadratnih kilometara’’, izjavio je Stefan Tanase, viši istraživač bezbednosti u kompaniji Kaspersky Lab. „Zahvaljujući tome, skoro je nemoguće locirati napadača. S obzirom da korišćenje takvih metoda postaje sve popularnije, važno je da sistemski rukovodioci postave odgovarajuće odbrambene strategije kako bi ublažili ovakve napade.”

Proizvodi kompanije Kaspersky Lab uspešno otkrivaju i blokiraju malver koji koristi grupa Turla. On se može naći pod sledećim imenima: Backdoor.Win32.Turla.*, Rootkit.Win32.Turla.*, HEUR:Trojan.Win32.Epiccosplay.gen, HEUR:Trojan.Win32.Generic.

Pročitajte više o mehanizmima za zloupotrebu linkova satelitskog interneta koje koriste sajber-špijuni grupe Turla na Securelist.com.

Pogledajte video snimke i saznajte kako proizvodi kompanije mogu da pomognu pri zaštiti od aktivnosti grupe Turla ovde.

Saznajte više o drugim sajber-špijunskim delovanjima sa ruskog govornog područja ovde.

Saznajte kako se sprovodi istraga ciljanih napada u kratkom video snimku.

About the author

Adria Daily Magazin

Adria Daily Magazin

Regionalni magazin. Imate vest? Javite nam: redakcija@adriadaily.com
Srbija | Hrvatska | Slovenija | BiH | Crna Gora | Makedonija

Add Comment

Click here to post a comment

Ovo veb mesto koristi Akismet kako bi smanjilo nepoželjne. Saznajte kako se vaši komentari obrađuju.

Oglašavanje

Oglašavanje

Oglašavanje

Pratite nas na Facebook-u

Oglašavanje