A Turla kiberkém csoport a műholdakat használja a teljes anonimitás elérésére

forrás: Prím Online, 2015. szeptember 12. 14:31

Miközben a hírhedt orosz nyelvű kiberkém csoport, a Turla ellen nyomoztak, a Kaspersky Lab kutatói felfedezték, hogyan rejtik el a hackerek a tevékenységüket és a földrajzi helyüket. Az anonimitás elérése érdekében globális műhold hálózatokat használ a csoport.

A Turla egy képzett kiberkém csoport, amely már több mint 8 éve aktív. A Turla támadói több száz számítógépet fertőztek meg 45 országban, többek között Kazahsztánban, Oroszországban, Kínában, Vietnámban és az Egyesült Államokban. A támadást elszenvedett szervezetek között vannak kormányzati intézmények, nagykövetségek, katonai, oktatási és kutatóközpontok, valamint gyógyszeripari cégek. A kezdeti szakaszban az Epic backdoor program profilírozza az áldozatokat. Kizárólag a legmagasabb besorolású célpontok esetében a támadás későbbi fázisaiban a támadók kiterjedt műholdas kommunikációs mechanizmust használnak, amely segít elrejteni a nyomaikat.

 

A műholdas kommunikáció leginkább a televíziós műsorszórás és a biztonságos kommunikáció eszközeként ismert, de internetszolgáltatáshoz is használják főként olyan távoli helyeken, ahol az internethozzáférés más módszerei lassúak és megbízhatatlanok, vagy egyáltalán nem érhetők el. Az egyik legelterjedtebb és legolcsóbb műhold alapú internet kapcsolat az úgynevezett “downstream-only” hozzáférés.

 

Ebben az esetben a felhasználó kimenő kérései hagyományos módon (vezetékes vagy GPRS kapcsolaton) jutnak célba, míg az összes bejövő forgalom a műholdról érkezik. Ez a technológia lehetővé teszi a felhasználó számára a viszonylag gyors letöltési sebességet, azonban van egy nagy hátránya: az összes beérkező forgalom kódoltalanul jut el a számítógépre. Bármely rosszindulatú felhasználó a megfelelő, olcsón megvásárolható berendezés és szoftver birtokában könnyedén kiszimatolhatja az internetforgalmat, és hozzáférhet minden adathoz, amelyet a felhasználók ily módon töltenek le.

 


A Turla csoport másképpen használja ki ezt a gyengeséget: ennek segítségével rejti el a parancs és vezérlő (C&C) szerverei elhelyezkedését. Ezek a szerverek az egyik legfontosabb részei a rosszindulatú infrastruktúrának. A C&C szerver lényegében a megcélzott gépekre telepített rosszindulatú programok bázisaként szolgál. Egy ilyen szerver helyének felfedezése elvezetheti a nyomozókat a kiberkémkedést irányító hackerekhez. A Turla csoport az alábbi módon kerüli el ennek a kockázatát:

 

1. A csoport először „belehallgat” a műholdas adatforgalomba, hogy azonosítsa a műholdas internetet éppen használók IP címét.

 

2.Ezután kiválasztanak egy online IP címet, amely alá elrejtik a C&C szervert a felhasználó tudta nélkül.

 

3. Ezután a Turla által megfertőzött gépek utasítást kapnak, hogy küldjenek adatokat a műholdas kapcsolatot igénybe vevő, kiválasztott felhasználók IP címére. Az adat hagyományos vonalakon halad a műholdas internet szolgáltatóhoz, majd felkerül a műholdra, végül a műholdról a kiválasztott IP címekre.

 

Érdekes módon, a legális felhasználó, akinek az IP címét a támadók a fertőzött gépekről való adatfogadásra használták, ugyancsak megkapja ezeket az adatcsomagokat, de szinte sosem veszi észre ezeket. Ez azért van, mert a Turla támadói utasítják a fertőzött gépeket, hogy olyan portokra küldjék az adatokat, amelyek az esetek többségében alapértelmezés szerint le vannak zárva. Így a számítógép egyszerűen eldobja ezeket a csomagokat, míg a Turla C&C szervere, amely nyitva tartja ezeket a portokat, fogadja és feldolgozza a beérkező adatokat.

 

Egy másik érdekessége a Turla taktikájának, hogy közel-keleti és afrikai országok műholdas szolgáltatóit használja. A vizsgálatok során a Kaspersky Lab szakértői észrevették, hogy a Turla csoport által használ IP címek többek között olyan országokban találhatók, mint Kongó, Libanon, Líbia, Niger, Nigéria, Szomália és az Egyesült Arab Emírségek.

 

Az ezen országok operátorai által használt rádióhullámok általában nem foghatók Európában és az észak-amerikai területeken, nehézzé téve így a legtöbb biztonsági kutatónak, hogy kivizsgálja ezeket a támadásokat.

 

A múltban legalább három különböző támadót láttunk, amely műholdas alapú internetes linkeket használt működése leplezésére. Ezek közül a Turla által kidolgozott megoldás a legérdekesebb és a legszokatlanabb. Képesek elérni a legmagasabb szintű anonimitást, kihasználva egy széles körben alkalmazott technológiát – az egyirányú műholdas internetet. A támadók bárhol lehetnek a kiválasztott műholdas tartományban, amelynek mérete meghaladhatja akár a több ezer négyzetkilométert is,” mondta Stefan Tanase, a Kaspersky Lab vezető biztonsági kutatója. „Ez szinte lehetetlenné teszi a támadó kézre kerítését. Mivel ezek a módszerek egyre népszerűbbé válnak, fontos, hogy a rendszergazdák foganatosítsák a megfelelő védelmi óvintézkedéseket  ezen támadások elhárítására.”

 

A Kaspersky Lab termékei sikeresen azonosítják és blokkolják a Turla által használt malware-eket, amelyek a következő neveket kapták: Backdoor.Win32.Turla.*, Rootkit.Win32.Turla.*, HEUR:Trojan.Win32.Epiccosplay.gen, HEUR:Trojan.Win32.Generic.

Biztonság ROVAT TOVÁBBI HÍREI

Így üzenjünk hadat, ha nagy a káosz és sok az adat!

Az adatok a legtöbb szervezetnél szétszórtan találhatók a különféle rendszerekben és alkalmazásokban. A cégeknek így már az is kihívást okoz, hogy átlássák, mi hol található. Annak meghatározása pedig még nagyobb nehézséget jelent, hogy az információk közül mi számít érzékeny adatnak, így mi az, ami komolyabb védelemre szorulna. A Micro Focus szakértői olyan professzionális eszközt javasolnak, amely a teljes infrastruktúrában képes feltérképezni, osztályozni és megvédeni az értékes információkat.

2020. június 4. 17:45

Könnyű préda a családi vállalkozás a kiberbűnözők számára?

Az utóbbi hónapokban kialakult helyzet a családi vállalkozások digitalizációját is felgyorsította, azonban a változások, új eszközök és a gyors ütemben lezajló fejlesztések mind-mind támadási felületet jelentenek a kiberbűnözők számára, akik ezt a globális turbulenciát kihasználva még célzottabb és kifinomultabb módon támadnak. A multicégek kihívásairól, a home office veszélyeiről sok szó esett, mi a helyzet azonban a kisebb, családi vállalkozások kiberbiztonságával? A Deloitte üzleti podcast sorozatának legutóbbi epizódjában erről a témáról hallhatunk bővebben.

2020. június 4. 09:36

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Fél évig ingyenes az Adverticum „DataMe DMP adatok" szolgáltatása

2020. április 30. 09:47

Az LG történetének legjobb üzemi eredményét érte el 2020. első negyedében

2020. április 29. 17:15

Gigafelvásárlás az oktatási piacon

2020. április 21. 10:32

Az ABB ingyenessé tette a digitális szolgáltatásokat

2020. április 20. 09:20
online sportfogadás