Grupa sajber-špijuna sa ruskog govornog područja koristi satelite kako bi osigurala svoju anonimnost

Istražujući Turlu, grupu ozloglašenih sajber-špijuna sa ruskog govornog područja, stručnjaci kompanije Kaspersky Lab otkrili su na koji način ona sakriva svoju aktivnost i fizičku lokaciju. Kao rešenje za očuvanje anonimnosti, grupa koristi slabosti u bezbednosnim sistemima globalnih satelitskih mreža.

Zvanično press saopštenje

Turla je vešta sajber-špijunska grupa koja je aktivna više od 8 godina. Napadači iz ove grupe su zarazili stotine računara u više od 45 zemalja sveta, među kojima su Kazahstan, Rusija, Kina, Vijetnam i Sjedinjene Države. Vrste organizacija koje su zaražene uključuju državne institucije i ambasade, kao i vojne, obrazovne, istraživačke i farmaceutske kompanije. Tokom početne faze, backdooor program Epic pravi profile žrtvi. Samo za najbitnije mete, u kasnijim fazama napada, grupa koristi široko rasprostranjene mehanizame satelitske komunikacije kako bi sakrila tragove.

Satelitska komunikacija je uglavnom poznata kao sredstvo emitovanja televizije i način brze i sigurne komunikacije; međutim, ona se koristi i za pristup internetu. Takve usluge se uglavnom koriste u udaljenim krajevima sveta, gde su alternativni načini pristupa internetu ili nestabilni i spori ili nepostojeći. Jedan od najrasprostranjenijih i najmanje skupih vrsta internet konekcije preko satelita je takozvana „downstream-only“ („nizvodna“) konekcija.

Turla

U ovom slučaju, odlazeći zahtevi sa korisnikovog PC računara sprovedeni su putem standardnih linija (žičnom ili GPRS konekcijom), a sav dolazni saobraćaj dolazi sa satelita. Ova tehnologija dozvoljava korisniku da preuzima podatke relativnom velikom brzinom. Međutim, postoji jedna velika mana: sav „nizvodni“ saobraćaj se vraća na PC uređaj u kodiranom obliku. Svaki korisnik loših namera, sa odgovarajućim setom ne toliko skupe opreme i pravim softverom, može da presretne signal i pristupi svim podacima koje preuzimaju korisnici ovih linkova.

Grupa Turla iskorišćava ovu slabost na različite načine kako bi sakrila lokaciju glavne komande i kontrolnih servera (C&C), jedog od najbitnijih delova ove maliciozne infrastructure. C&C server je, u suštini, „početna baza” malvera koji je postavljen na ciljanim mašinama. Otkrivanje lokacije jednog takvog servera istraživačima može pružiti detaljnije informacije o akterima koji stoje iza određene operacije. Evo kako grupa Turla izbegava ove rizike:

  • U početku „osluškuje” silazne podatke sa satelita, kako bi identifikovala aktivne IP adrese korisnika satelitskog interneta koji su na mreži u tom trenutku

  • Zatim, izaberu jednu od aktivnih IP adresa koja će koristiti kao maska za C&C server, bez znanja pravog korisnika

  • Zaraženim uređajima je potom naređeno da usmeravaju podatke ka odabranim IP adresama redovnih korisnika satelitskog interneta. Podaci putuju standardnim linijama do zemaljskih stanica provajdera satelitskog interneta, zatim do satelita i konačno od satelita do korisnika na odabranim IP adresama.

Ono što je interesantno jeste da će i legitimni korisnici IP adresa, onih koje se koriste za prijem podataka sa zaraženog uređaja, takođe primiti ove podatke, ali neće obratiti pažnju na njih. To se dešava zato što Turla napadači nalažu zaraženim uređajima da šalju podatke portovima koji su, u većini slučajeva, zatvoreni. Stoga, PC uređaj legitimnog korisnika jednostavno će odbaciti ove podatke, dok ih C&C server Turla grupe, koji drži portove otvorenim, prima i obrađuje.

Druga interesantna činjenica u vezi sa taktikom grupe Turla jeste da uglavnom koriste provajdere satelitskog interneta koji se nalaze u srednjoevropskim i afričkim zemljama. Tokom istraživanja, stručnjaci kompanije Kaspersky Lab su uočili da grupa Turla koristi IP adrese provajdera u zemljama kao što su Kongo, Liban, Libija, Niger, Nigerija, Somalija ili Ujedinjeni Arapski Emirati.