A Turla az égen rejtőzködik

A Turla az égen rejtőzködik
Miközben a hírhedt orosz nyelvű kiberkém csoport, a Turla ellen nyomoztak, a Kaspersky Lab kutatói felfedezték, hogyan rejtik el a hackerek a tevékenységüket és a földrajzi helyüket. Az anonimitás elérése érdekében globális műhold hálózatokat használ a csoport.

A Turla egy képzett kiberkém csoport, amely már több mint 8 éve aktív. A támadói több száz számítógépet fertőztek meg 45 országban, többek között Kazahsztánban, Oroszországban, Kínában, Vietnámban és az Egyesült Államokban. A támadást elszenvedett szervezetek között vannak kormányzati intézmények, nagykövetségek, katonai, oktatási és kutatóközpontok, valamint gyógyszeripari cégek. A kezdeti szakaszban az Epic backdoor program profilírozza az áldozatokat. Kizárólag a legmagasabb besorolású célpontok esetében a támadás későbbi fázisaiban a támadók kiterjedt műholdas kommunikációs mechanizmust használnak, amely segít elrejteni a nyomaikat.

A műholdas kommunikáció leginkább a televíziós műsorszórás és a biztonságos kommunikáció eszközeként ismert, de internetszolgáltatáshoz is használják főként olyan távoli helyeken, ahol az internethozzáférés más módszerei lassúak és megbízhatatlanok, vagy egyáltalán nem érhetők el. Az egyik legelterjedtebb és legolcsóbb műhold alapú internet kapcsolat az úgynevezett “downstream-only” hozzáférés.

Ebben az esetben a felhasználó kimenő kérései hagyományos módon (vezetékes vagy GPRS kapcsolaton) jutnak célba, míg az összes bejövő forgalom a műholdról érkezik. Ez a technológia lehetővé teszi a felhasználó számára a viszonylag gyors letöltési sebességet, azonban van egy nagy hátránya: az összes beérkező forgalom kódoltalanul jut el a számítógépre. Bármely rosszindulatú felhasználó a megfelelő, olcsón megvásárolható berendezés és szoftver birtokában könnyedén kiszimatolhatja az internetforgalmat, és hozzáférhet minden adathoz, amelyet a felhasználók ily módon töltenek le.

A Turla csoport másképpen használja ki ezt a gyengeséget: ennek segítségével rejti el a parancs és vezérlő (C&C) szerverei elhelyezkedését. Ezek a szerverek az egyik legfontosabb részei a rosszindulatú infrastruktúrának. A C&C szerver lényegében a megcélzott gépekre telepített rosszindulatú programok bázisaként szolgál. Egy ilyen szerver helyének felfedezése elvezetheti a nyomozókat a kiberkémkedést irányító hackerekhez. A Turla csoport az alábbi módon kerüli el ennek a kockázatát:

1. A csoport először „belehallgat” a műholdas adatforgalomba, hogy azonosítsa a műholdas internetet éppen használók IP címét.

2.Ezután kiválasztanak egy online IP címet, amely alá elrejtik a C&C szervert a felhasználó tudta nélkül.

3. Ezután a Turla által megfertőzött gépek utasítást kapnak, hogy küldjenek adatokat a műholdas kapcsolatot igénybe vevő, kiválasztott felhasználók IP címére. Az adat hagyományos vonalakon halad a műholdas internet szolgáltatóhoz, majd felkerül a műholdra, végül a műholdról a kiválasztott IP címekre.

Érdekes módon, a legális felhasználó, akinek az IP címét a támadók a fertőzött gépekről való adatfogadásra használták, ugyancsak megkapja ezeket az adatcsomagokat, de szinte sosem veszi észre ezeket. Ez azért van, mert a Turla támadói utasítják a fertőzött gépeket, hogy olyan portokra küldjék az adatokat, amelyek az esetek többségében alapértelmezés szerint le vannak zárva. Így a számítógép egyszerűen eldobja ezeket a csomagokat, míg a Turla C&C szervere, amely nyitva tartja ezeket a portokat, fogadja és feldolgozza a beérkező adatokat.

Egy másik érdekessége a Turla taktikájának, hogy közel-keleti és afrikai országok műholdas szolgáltatóit használja. A vizsgálatok során a Kaspersky Lab szakértői észrevették, hogy a Turla csoport által használ IP címek többek között olyan országokban találhatók, mint Kongó, Libanon, Líbia, Niger, Nigéria, Szomália és az Egyesült Arab Emírségek. Az ezen országok operátorai által használt rádióhullámok általában nem foghatók Európában és az észak-amerikai területeken, nehézzé téve így a legtöbb biztonsági kutatónak, hogy kivizsgálja ezeket a támadásokat.