Kaspersky Lab: Gruparea de spionaj cibernetic Turla se folosea de slabiciunile din securitatea retelelor de satelit pentru a-si pastra anonimatul
Atacatorii care se ascund in spatele gruparii Turla au infectat sute de calculatoare din peste 45 de tari, inclusiv Kazakhstan, Rusia, China, Vietnam si Statele Unite ale Americii. Printre tipurile de organizatii care au fost infectate se numara: institutii guvernamentale si ambasade, precum si organizatii din domeniul militar, al educatiei si cercetarii si companii farmaceutice. In stadiul initial al atacului, backdoor-ul Epic verifica profilul victimelor, spun cei de la Kaspersky.
Doar in cazul tintelor cu o miza foarte mare, atacatorii folosesc un mecanism de comunicare complex prin satelit, intr-un stadiu al atacului mai avansat, fapt care ii ajuta sa-si ascunda urmele.
Comunicatiile prin satelit sunt, cel mai adesea, cunoscute drept un instrument de comunicare sigur pentru transmisia TV; cu toate acestea, sunt folosite si pentru a oferi acces la internet. Astfel de servicii sunt frecvent folosite in zine indepartate, unde toate celelalte modalitati de acces la internet sunt fie instabile, fie au o conexiune lenta sau sunt indisponibile. Una dintre cele mai raspandite si necostisitoare tipuri de conexiune la internet prin satelit este asa-numita conexiune de tip downstream-only.
In acest caz, cererile de iesire din PC-ul unui utilizator sunt comunicate prin linii conventionale (conexiune prin fir sau GPRS), traficul de intrare provenind prin satelit. Aceasta tehnologie permite utilizatorului sa obtina o viteza de descarcare relativ rapida. Cu toate acestea, exista un mare dezavantaj: intregul trafic descarcat se intoarce catre computer necriptat. Orice utilizator obisnuit, cu softul si echipamentul potrivit ar putea intercepta, cu usurinta, traficul si obtine acces la toate informatiile pe care utilizatorii acestor legaturi le descarca.
Gruparea Turla profita de aceasta slabiciune intr-un mod diferit, folosind-o pentru a-si ascunde locul unde se afla serverele de comanda si control, una dintre cele mai importante parti ale infrastructurii malware. Serverul de comanda si control reprezinta, in esenta, o “baza” pentru folosirea malware-ului asupra dispozitivelor vizate. Localizarea unui astfel de server poate conduce cercetarorii catre descoperirea unor detalii despre actorul aflat in spatele acestei operatiuni. In continuare, sunt detaliate o serie de actiuni prin care gruparea Turla evita astfel de riscuri:
1. Gruparea “asculta”, mai intai, traficul descarcat prin satelit, pentru a identifica adresele IP active ale utilizatorilor de internet prin satelit, care sunt conectate in acel moment.
2. Atacatorii aleg apoi o adresa IP online pentru a fi folosita in mascarea serverul de comanda si control, fara ca utilizatorul legitim sa observe acest lucru.
3. Calculatoarele infectate de Turla sunt apoi programate sa trimita informatii catre IP-urile selectate ale utilizatorilor obisnuiti de internet prin satelit. Informatia calatoreste prin linii conventionale catre teleporturile furnizorilor de internet prin satelit, apoi mai departe catre satelit si, in final, din satelit catre utilizatorii cu IP-urile selectate.
Interesant este ca utilizatorii a caror adresa IP a fost folosita de atacatori pentru a primi informatii dintr-un calculator infectat, vor primi, de asemenea, aceste pachete de informatii care sunt, insa, greu de observat. Acest lucru se intampla din cauza faptului ca, atacatorii Turla seteaza calculatoarele infectate sa trimita informatia catre porturi care, in majoritatea cazurilor, sunt inchise in mod implicit. Prin urmare, computerul utilizatorului va livra doar aceste pachete, in timp ce serverul de comanda si control al gruparii Turla, ce tine aceste porturi deschise, va primi si procesa informatiile transmise.
Un alt aspect interesant privind tacticile actorului Turla este ca acesta tinde sa foloseasca furnizorii de servicii de internet prin satelit situati in Orientul Mijlociu si tari din Africa. In timpul analizei, expertii Kaspersky Lab au identificat faptul ca gruparea Turla foloseste IP-urile unor furnizori aflati in tari precum Congo, Liban, Libia, Niger, Nigeria, Somalia si Emiratele Arabe Unite.
Semnalele prin satelit folosite de catre operatorii acestor tari nu acopera, de obicei, teritorii din Europa si America de Nord, ceea ce, investigarea unor astfel de atacuri mult mai dificila pentru cercetatorii in securitate din tarile aflate in afara continentului.
"In trecut, am mai vazut cel putin trei actori diferiti care foloseau linkuri de internet prin satelit pentru a-si masca operatiunile. Dintre acestia, solutia dezvoltata de gruparea Turla este cea mai interesanta si neobisnuita.", a explicat Stefan Tanase, Senior Security Researcher in cadrul Kaspersky Lab. “Sunt capabili sa atinga cel mai inalt nivel al anonimatului exploatand o tehnologie utilizata la scara larga – internetul prin satelit de tip one-way broadband. Atacatorii pot fi oriunde pe raza satelitului ales, o suprafata care poate depasi mii kmp. “Acest lucru face aproape imposibila localizarea atacatorului. Pe masura ce folosirea acestor metode devine din ce in ce mai cunoscuta, este important ca administratorii de sistem sa foloseasca strategii de aparare pentru preintampinarea unor astfel de atacuri.”, a explicat Stefan Tanase.

1.205 de doze de vaccin antiCOVID-19 pierdute, cele mai multe în Cluj / Între motive: spargerea flacoanelor sau temperatura inadecvată
K2 - Povestea ”muntelui sălbatic” - Tragedii și victorii pe un monument fantastic din piatră, zăpadă și gheață
Adele, The Cure, Drake și alții. Ce albume așteptăm odată cu revenirea industriei muzicale în 2021
INTERVIU Cum ne ferim de conspirațiile pe seama vaccinului anti-COVID: Fiecare reacție adversă cunoscută până acum e exagerată de conspiraționiști. Ți se dă de înțeles că vei păți cu certitudine acel lucru
VIDEO Vlog-ul lui Cristian Presură: Cum combat experții în Sănătate principalele temeri legate de vaccinul anti-Covid
Vaccinarea profesorilor rămâne prioritate doar în vorbe / Sindicate: Nu pot să se programeze, unora le este teamă să meargă la școală nevaccinați / Cazul concret a două învățătoare
Afacere păguboasă pentru stat: Peste 90 de milioane de măști din Vietnam zac într-un antrepozit vamal, fără prea mari șanse de a mai fi folosite