Turla – zloglasna kibernetska skupina izrablja satelite
Kibernetska skupina Turla za doseganje anonimnosti izrablja satelite
9. september 2015
Med preiskavo zloglasne rusko govoreče kibernetske skupine Turla so raziskovalci Kaspersky Laba odkrili, da se skupina razkritju svojega delovanja in fizične lokacije izmika z uporabo varnostnih pomanjkljivosti v globalnih satelitskih omrežjih.
Turla je sofisticirana kibernetska skupina, ki deluje že več kot 8 let. Napadalci pod njenim okriljem so okužili na stotine računalnikov v več kot 45 državah, vključno s Kazahstanom, Rusijo, Kitajsko, Vietnamom in Združenimi državami Amerike. Napadeni so bili vsi tipi organizacij, tako vladne ustanove in veleposlaništva kot tudi vojaške, izobraževalne in raziskovalne organizacije ter farmacevtska podjetja. Skupina na začetni stopnji opravi profiliranje žrtev prek zadnjih vrat Epic. Za žrtve na najvišji ravni nato v kasnejših fazah napada uporabi obsežen satelitski komunikacijski mehanizem, ki ji pomaga prikriti sledi.
Satelitske komunikacije so znane predvsem kot orodje za televizijske prenose in varne komunikacije, uporabljajo pa se tudi za zagotavljanje dostopa do interneta. Takšne storitve se uporabljajo predvsem v odročnih krajih, kjer so vse druge vrste dostopa do interneta bodisi nestabilne in počasne bodisi sploh niso na voljo. Ena izmed najbolj razširjenih in poceni vrst satelitske internetne povezave je tako imenovana povezava »downstream-only connection«.
V tem primeru so izhodne zahteve z uporabnikovega računalnika sporočene prek običajnih linij (žične povezave ali povezave GPRS), ves dohodni promet pa prihaja prek satelita. Ta tehnologija uporabniku omogoča razmeroma hiter prenos. Vendar pa ima veliko pomanjkljivost, in sicer se preneseni promet na osebni računalnik vrne v nešifrirani obliki. Vsak nepridiprav lahko s pravim in razmeroma poceni orodjem in programsko opremo preprosto prestreže promet ter dobi dostop do vseh podatkov, ki jih uporabniki teh povezav prenašajo.
Skupina Turla te pomanjkljivosti izkorišča na drugačen način. Prikrije namreč lokacijo enega od najbolj pomembnih delov zlonamerne infrastrukture – svojih strežnikov za upravljanje in nadzor (ang. Command and Control servers ali C&C). Strežnik C&C pravzaprav pomeni »domačo bazo« za vso zlonamerno programsko opremo, ki je usmerjena na ciljne naprave. Odkritje lokacije takega strežnika lahko varnostne raziskovalce privede do podrobnosti o kibernetski skupini, ki je v ozadju neke operacije. Postopek, s katerim se skupina Turla izogiba takšnemu tveganju, je naslednji:
- Skupina Turla najprej sledi prenosom s satelita z namenom, da prepozna aktivne naslove internetnega protokola (IP) tistih uporabnikov, ki uporabljajo satelitski internet in so v tistem trenutku na spletu.
- Brez vednosti uporabnika nato izbere spletni naslov IP, s katerim prikrije strežnik C&C.
- Naprave, ki jih skupina Turla okuži, nato posredujejo podatke na izbrane naslove IP rednih satelitskih internetnih uporabnikov. Podatki potujejo po konvencionalnih linijah do ponudnikov satelitskega interneta, nato do satelita in končno od satelita do uporabnikov z izbranimi naslovi IP.
Zanimivo je, da uporabniki, katerih naslove IP napadalci uporabljajo za sprejem podatkov iz okuženih naprav, prav tako prejmejo te pakete podatkov, ampak jih komaj opazijo. Okužene naprave namreč podatke pošljejo prek vrat, ki so v večini primerov zaprta. Tako bo osebni računalnik uporabnika preprosto spustil te pakete, medtem ko bo strežnik C&C skupine Turla, ki vrata ohranja odprta, prejel in obdelal posredovane podatke.
Zanimivost taktike skupine Turla je tudi ta, da se nagibajo k uporabi satelitskih ponudnikov internetnih povezav, ki se nahajajo v bližnjevzhodnih in afriških državah. Strokovnjaki Kaspersky Laba so v svojih raziskavah opazili, da skupina Turla uporablja naslove IP ponudnikov s sedežem v državah kot so Kongo, Libanon, Libija, Niger, Nigerija, Somalija in Združeni arabski emirati.
Satelitski žarki, ki jih operaterji uporabljajo v teh državah, običajno ne pokrivajo evropskih in severnoameriških ozemelj, zato je za večino varnostnih raziskovalcev takšne napade zelo težko raziskati.
»V preteklosti smo opazili vsaj tri različne akterje, ki so prikrivali svoje delovanje s pomočjo satelitske internetne povezave. Med njimi je rešitev skupine Turla najbolj zanimiva in nenavadna. Z izkoriščanjem razširjene tehnologije – enosmernega satelitskega interneta – skupina namreč lahko dosega ultimativno anonimnost. Napadalci so lahko kjerkoli v dometu izbranega satelita, torej na območju, ki lahko preseže na tisoče kvadratnih kilometrov,« je povedal Stefan Tanase, višji varnostni raziskovalec pri Kaspersky Labu, in dodal: »Zato je skoraj nemogoče, da bi napadalca izsledili. Ker uporaba teh metod postaja vse bolj priljubljena, je za sistemske administratorje pomembno, da uporabijo pravilne obrambne strategije za ublažitev tovrstnih napadov.«
Varnostne rešitve Kaspersky Laba uspešno odkrivajo in blokirajo zlonamerno programsko opremo, ki jo uporablja skupina Turla in se uporablja z naslednjimi imeni: Backdoor.Win32.Turla.*, Rootkit.Win32.Turla.*, HEUR:Trojan.Win32.Epiccosplay.gen, HEUR:Trojan.Win32.Generic.
Več o mehanizmih za zlorabo satelitskih internetnih povezav, ki jih uporablja skupina Turla, lahko preberete na spletni strani Securelist.com, kjer lahko najdete tudi indikatorje varnostnih pomanjkljivosti.
Več o tem, kako lahko varnostne rešitve Kaspersky Laba pomagajo zaščititi pred operacijami skupine Turla, najdete na naslednji povezavi.
O drugih operacijah rusko govorečih kibernetskih skupin se lahko seznanite tukaj.
Način raziskovanja izpopolnjenih usmerjenih napadov je predstavljen v naslednjem kratkem videoposnetku.
O Kaspersky Labu
Kaspersky Lab je največji zasebni prodajalec končnih varnostnih rešitev na svetu. Podjetje se uvršča med najboljše štiri svetovne prodajalce varnostnih rešitev za končne uporabnike*. Skozi svojo več kot 17-letno zgodovino je Kaspersky Lab inovator na področju IT-varnosti ter ustvarja učinkovite digitalne rešitve na področju varnosti za potrošnike, mala in srednja podjetja ter večje organizacije. Kaspersky Lab s holdingom, registriranim v Veliki Britaniji, trenutno deluje v skoraj 200 državah in ozemljih po celem svetu ter zagotavlja zaščito več kot 400 milijonom uporabnikom. Več o Kaspersky Labu si lahko preberete na www.kaspersky.com