Turla, o grupare de hackeri specializată în spionaj cibernetic, a ajuns să folosească reţele globale de sateliţi pentru a-şi atinge ţintele. Recent, acţiunile grupării au fost descoperite.

Turla este o grupare de spionaj cibernetic alcătuită din vorbitori de rusă, care activează de mai bine de opt ani. Atacatorii care aparţin de Turla au infectat sute de calculatoare din peste 45 de ţări, inclusiv Kazakhstan, Rusia, China, Vietnam şi Statele Unite ale Americii. Printre tipurile de organizaţii care au fost infectate se numără instituţii guvernamentale şi ambasade, precum şi organizaţii din domeniul militar, al educaţiei şi cercetării şi companii farmaceutice.

Comunicaţiile prin satelit sunt cunoscute drept un instrument de comunicare sigur pentru transmisia TV, dar cu toate acestea sunt folosite şi pentru a oferi acces la Internet. Astfel de servicii sunt frecvent folosite în zone îndepărtate, unde toate celelalte modalităţi de acces sunt fie instabile, fie au o conexiune lentă sau sunt indisponibile. Una dintre cele mai răspândite şi necostisitoare tipuri de conexiune la internet prin satelit este aşa numita conexiune de tip downstream only.

În stadiul iniţial al atacului, hackerii folosesc un backdoor, denumit Epic, pentru a verifica profilul victimelor. Doar în cazul ţintelor cu o miză foarte mare, atacatorii folosesc un mecanism de comunicare complex prin satelit, într-un stadiu al atacului mai avansat, fapt care îi ajută să-şi ascundă urmele.

În cazul downstream only, cererile de ieşire din PC-ul unui utilizator sunt comunicate prin linii convenţionale (conexiune prin fir sau GPRS), traficul de intrare provenind prin satelit. Această tehnologie permite utilizatorului să obţină o viteză de descărcare relativ rapidă. Cu toate acestea, există un mare dezavantaj: întregul trafic descărcat se întoarce către computer necriptat. Orice utilizator obişnuit, cu software şi echipament potrivit, ar putea intercepta, cu usurinţă, traficul şi obţine acces la toate informaţiile pe care utilizatorii acestor legături le descarcă.

Ţintele pe care gruparea Turla le-a avut până acum.

Gruparea Turla profită de această slăbiciune într-un mod diferit, folosind-o pentru a-şi ascunde locul unde se află serverele de comandă şi control, una dintre cele mai importante părţi ale infrastructurii malware. Serverul de comandă şi control reprezintă, în esenţă, o “bază” pentru folosirea malware-ului asupra dispozitivelor vizate. Localizarea unui astfel de server poate conduce cercetărorii către descoperirea unor detalii despre actorul aflat în spatele acestei operaţiuni.

Cum evită gruparea Turla riscurile

Întâi, urmăreşte traficul prin satelit pentru a identifica adresele IP active ale utilizatorilor de internet prin satelit, care sunt conectate în acel moment. Apoi, atacatorii aleg o adresă IP pentru a fi folosită în mascarea serverul de comandă şi control, fără ca utilizatorul legitim să observe acest lucru.

Calculatoarele infectate de Turla sunt apoi programate să trimită informaţii către IP-urile selectate ale utilizatorilor obişnuiţi de internet prin satelit. Informaţia călătoreşte prin linii convenţionale către teleporturile furnizorilor de internet prin satelit, apoi mai departe către satelit şi, în final, din satelit către utilizatorii cu IP-urile selectate.

Experţii Kaspersky au descoperit şi că Turla foloseşte furnizorii de servicii de Internet prin satelit situaţi în Orientul Mijlociu şi ţări din Africa. În timpul analizei, au identificat că gruparea Turla foloseşte IP-urile unor furnizori aflaţi în ţări precum Congo, Liban, Libia, Niger, Nigeria, Somalia şi Emiratele Arabe Unite. Totuşi, produsele Kaspersky Lab detectează şi blochează mostre de malware folosite de actorul Turla, cu următoarele nume de detectare: Backdoor.Win32.Turla.*, Rootkit.Win32.Turla.*, HEUR:Trojan.Win32.Epiccosplay.gen şi HEUR:Trojan.Win32.Generic.

„Membrii Turla sunt capabili să atingă cel mai înalt nivel al anonimatului exploatând o tehnologie utilizată la scară largă – Internetul prin satelit de tip one-way broadband. Atacatorii pot fi oriunde pe raza satelitului ales, o suprafaţă care poate depăşi mii de kilometri pătraţi. Acest lucru face aproape imposibilă localizarea atacatorului. Pe măsură ce folosirea acestor metode devine din ce în ce mai cunoscută, este important ca administratorii de sistem să folosească strategii de apărare pentru preîntâmpinarea unor astfel de atacuri”, a explicat Ştefan Tănase, Senior Security Researcher în cadrul Kaspersky Lab.

<a href="https://www.facebook.com/adevarultech" target="_blank" rel="nofollow">Hai pe Facebook ca să ştii ce-i nou şi când nu eşti pe site!</a>