Îm acest fel, reușește să evite depistarea activității sale și localizarea geografică, susţin cercetătorii Kaspersky Lab. Turla este o grupare de spionaj cibernetic sofisticată, formată din vorbitori de limba rusă, care activează de mai bine de 8 ani. Atacatorii care se ascund în spatele grupării Turla au infectat sute de calculatoare din peste 45 de țări, inclusiv Kazakhstan, Rusia, China, Vietnam și Statele Unite ale Americii. Printre tipurile de organizații care au fost infectate se numără: instituții guvernamentale și ambasade, precum și organizații din domeniul militar, al educației și cercetării și companii farmaceutice. În stadiul inițial al atacului, backdoor-ul Epic verifică profilul victimelor. Doar în cazul țintelor cu o miză foarte mare, atacatorii folosesc un mecanism de comunicare complex prin satelit, într-un stadiu al atacului mai avansat, fapt care îi ajută să-și ascundă urmele.
Comunicațiile prin satelit sunt, cel mai adesea, cunoscute drept un instrument de comunicare sigur pentru transmisia TV; cu toate acestea, sunt folosite și pentru a oferi acces la internet. Astfel de servicii sunt frecvent folosite în zine îndepărtate, unde toate celelalte modalități de acces la internet sunt fie instabile, fie au o conexiune lentă sau sunt indisponibile. Una dintre cele mai răspândite și necostisitoare tipuri de conexiune la internet prin satelit este asa-numita conexiune de tip downstream-only.
În acest caz, cererile de ieșire din PC-ul unui utilizator sunt comunicate prin linii convenționale (conexiune prin fir sau GPRS), traficul de intrare provenind prin satelit. Această tehnologie permite utilizatorului să obțină o viteză de descărcare relativ rapidă. Cu toate acestea, există un mare dezavantaj: întregul trafic descărcat se întoarce către computer necriptat. Orice utilizator obișnuit, cu softul și echipamentul potrivit ar putea intercepta, cu usurință, traficul și obține acces la toate informațiile pe care utilizatorii acestor legături le descarcă.
Gruparea Turla profită de această slăbiciune într-un mod diferit, folosind-o pentru a-și ascunde locul unde se află serverele de comandă și control, una dintre cele mai importante părți ale infrastructurii malware. Serverul de comandă și control reprezintă, în esență, o “bază” pentru folosirea malware-ului asupra dispozitivelor vizate. Localizarea unui astfel de server poate conduce cercetărorii către descoperirea unor detalii despre actorul aflat în spatele acestei operațiuni. În continuare, sunt detaliate o serie de acțiuni prin care gruparea Turla evită astfel de riscuri:
Gruparea “ascultă”, mai întâi, traficul descărcat prin satelit, pentru a identifica adresele IP active ale utilizatorilor de internet prin satelit, care sunt conectate în acel moment.
Atacatorii aleg apoi o adresă IP online pentru a fi folosită în mascarea serverul de comandă și control, fără ca utilizatorul legitim să observe acest lucru.
Calculatoarele infectate de Turla sunt apoi programate să trimită informații către IP-urile selectate ale utilizatorilor obișnuiți de internet prin satelit. Informația călătorește prin linii convenționale către teleporturile furnizorilor de internet prin satelit, apoi mai departe către satelit și, în final, din satelit către utilizatorii cu IP-urile selectate.
Interesant este că utilizatorii a căror adresă IP a fost folosită de atacatori pentru a primi informații dintr-un calculator infectat, vor primi, de asemenea, aceste pachete de informații care sunt, însă, greu de observat. Acest lucru se întâmplă din cauza faptului că, atacatorii Turla setează calculatoarele infectate să trimită informația către porturi care, în majoritatea cazurilor, sunt închise în mod implicit. Prin urmare, computerul utilizatorului va livra doar aceste pachete, în timp ce serverul de comandă și control al grupării Turla, ce ține aceste porturi deschise, va primi și procesa informațiile transmise.
Un alt aspect interesant privind tacticile actorului Turla este că acesta tinde să folosească furnizorii de servicii de internet prin satelit situați în Orientul Mijlociu și țări din Africa. În timpul analizei, experții Kaspersky Lab au identificat faptul că gruparea Turla folosește IP-urile unor furnizori aflați în țări precum Congo, Liban, Libia, Niger, Nigeria, Somalia și Emiratele Arabe Unite.
Semnalele prin satelit folosite de către operatorii acestor țări nu acoperă, de obicei, teritorii din Europa și America de Nord, ceea ce, investigarea unor astfel de atacuri mult mai dificilă pentru cercetătorii în securitate din țările aflate în afara continentului.
“În trecut, am mai văzut cel puțin trei actori diferiți care foloseau linkuri de internet prin satelit pentru a-și masca operațiunile. Dintre aceștia, soluția dezvoltată de gruparea Turla este cea mai interesantă și neobișnuită.”, a explicat Ștefan Tănase, Senior Security Researcher în cadrul Kaspersky Lab. “Sunt capabili să atingă cel mai înalt nivel al anonimatului exploatând o tehnologie utilizată la scară largă – internetul prin satelit de tip one-way broadband. Atacatorii pot fi oriunde pe raza satelitului ales, o suprafață care poate depăși mii de km2. “Acest lucru face aproape imposibilă localizarea atacatorului. Pe măsură ce folosirea acestor metode devine din ce în ce mai cunoscută, este important ca administratorii de sistem să folosească strategii de apărare pentru preîntâmpinarea unor astfel de atacuri.”, a explicat Ștefan Tănase.
Ediția a V-a a Conferinței de analiză de risc va avea loc pe data de…
Roadshow-ul Power of Video, organizat de Milestone Systems, va demonstra diferite moduri în care conținutul…
La data de 18 decembrie., polițiștii de investigații criminale din cadrul Poliției municipiului Roman au…
Într-o lume cu abonamente la cu trafic de internet nelimitat, nu mai ai nevoie neapărat…
Cel mai recent film care continuă seria ”Star Wars” a atras atenţia atacatorilor chiar înainte…
Polițiștii ieșeni au identificat trei bărbați și o tânără, bănuiți de furturi din genți și…