In timp ce investigau gruparea de spionaj cibernetic Turla, cercetatorii Kaspersky Lab au descoperit modalitatea prin care acesta reuseste sa evite depistarea activitatii sale si localizarea geografica. Pentru a-si pastra anonimatul, gruparea foloseste slabiciunile din securitatea retelelor de satelit globale. Turla este o grupare de spionaj cibernetic sofisticata, formata din vorbitori de limba rusa, care activeaza de mai bine de 8 ani.

Harta tintelor TurlaFoto: Kaspersky

Atacatorii care se ascund in spatele gruparii Turla au infectat sute de calculatoare din peste 45 de tari, inclusiv Kazakhstan, Rusia, China, Vietnam si Statele Unite ale Americii. Printre tipurile de organizatii care au fost infectate se numara: institutii guvernamentale si ambasade, precum si organizatii din domeniul militar, al educatiei si cercetarii si companii farmaceutice. In stadiul initial al atacului, backdoor-ul Epic verifica profilul victimelor, spun cei de la Kaspersky.

Doar in cazul tintelor cu o miza foarte mare, atacatorii folosesc un mecanism de comunicare complex prin satelit, intr-un stadiu al atacului mai avansat, fapt care ii ajuta sa-si ascunda urmele.

Comunicatiile prin satelit sunt, cel mai adesea, cunoscute drept un instrument de comunicare sigur pentru transmisia TV; cu toate acestea, sunt folosite si pentru a oferi acces la internet. Astfel de servicii sunt frecvent folosite in zine indepartate, unde toate celelalte modalitati de acces la internet sunt fie instabile, fie au o conexiune lenta sau sunt indisponibile. Una dintre cele mai raspandite si necostisitoare tipuri de conexiune la internet prin satelit este asa-numita conexiune de tip downstream-only.

In acest caz, cererile de iesire din PC-ul unui utilizator sunt comunicate prin linii conventionale (conexiune prin fir sau GPRS), traficul de intrare provenind prin satelit. Aceasta tehnologie permite utilizatorului sa obtina o viteza de descarcare relativ rapida. Cu toate acestea, exista un mare dezavantaj: intregul trafic descarcat se intoarce catre computer necriptat. Orice utilizator obisnuit, cu softul si echipamentul potrivit ar putea intercepta, cu usurinta, traficul si obtine acces la toate informatiile pe care utilizatorii acestor legaturi le descarca.

Gruparea Turla profita de aceasta slabiciune intr-un mod diferit, folosind-o pentru a-si ascunde locul unde se afla serverele de comanda si control, una dintre cele mai importante parti ale infrastructurii malware. Serverul de comanda si control reprezinta, in esenta, o “baza” pentru folosirea malware-ului asupra dispozitivelor vizate. Localizarea unui astfel de server poate conduce cercetarorii catre descoperirea unor detalii despre actorul aflat in spatele acestei operatiuni. In continuare, sunt detaliate o serie de actiuni prin care gruparea Turla evita astfel de riscuri:

1. Gruparea “asculta”, mai intai, traficul descarcat prin satelit, pentru a identifica adresele IP active ale utilizatorilor de internet prin satelit, care sunt conectate in acel moment.

2. Atacatorii aleg apoi o adresa IP online pentru a fi folosita in mascarea serverul de comanda si control, fara ca utilizatorul legitim sa observe acest lucru.

3. Calculatoarele infectate de Turla sunt apoi programate sa trimita informatii catre IP-urile selectate ale utilizatorilor obisnuiti de internet prin satelit. Informatia calatoreste prin linii conventionale catre teleporturile furnizorilor de internet prin satelit, apoi mai departe catre satelit si, in final, din satelit catre utilizatorii cu IP-urile selectate.

Interesant este ca utilizatorii a caror adresa IP a fost folosita de atacatori pentru a primi informatii dintr-un calculator infectat, vor primi, de asemenea, aceste pachete de informatii care sunt, insa, greu de observat. Acest lucru se intampla din cauza faptului ca, atacatorii Turla seteaza calculatoarele infectate sa trimita informatia catre porturi care, in majoritatea cazurilor, sunt inchise in mod implicit. Prin urmare, computerul utilizatorului va livra doar aceste pachete, in timp ce serverul de comanda si control al gruparii Turla, ce tine aceste porturi deschise, va primi si procesa informatiile transmise.

Un alt aspect interesant privind tacticile actorului Turla este ca acesta tinde sa foloseasca furnizorii de servicii de internet prin satelit situati in Orientul Mijlociu si tari din Africa. In timpul analizei, expertii Kaspersky Lab au identificat faptul ca gruparea Turla foloseste IP-urile unor furnizori aflati in tari precum Congo, Liban, Libia, Niger, Nigeria, Somalia si Emiratele Arabe Unite.

Semnalele prin satelit folosite de catre operatorii acestor tari nu acopera, de obicei, teritorii din Europa si America de Nord, ceea ce, investigarea unor astfel de atacuri mult mai dificila pentru cercetatorii in securitate din tarile aflate in afara continentului.

"In trecut, am mai vazut cel putin trei actori diferiti care foloseau linkuri de internet prin satelit pentru a-si masca operatiunile. Dintre acestia, solutia dezvoltata de gruparea Turla este cea mai interesanta si neobisnuita.", a explicat Stefan Tanase, Senior Security Researcher in cadrul Kaspersky Lab. “Sunt capabili sa atinga cel mai inalt nivel al anonimatului exploatand o tehnologie utilizata la scara larga – internetul prin satelit de tip one-way broadband. Atacatorii pot fi oriunde pe raza satelitului ales, o suprafata care poate depasi mii kmp. “Acest lucru face aproape imposibila localizarea atacatorului. Pe masura ce folosirea acestor metode devine din ce in ce mai cunoscuta, este important ca administratorii de sistem sa foloseasca strategii de aparare pentru preintampinarea unor astfel de atacuri.”, a explicat Stefan Tanase.