Уязвимости спутникового Интернета стали прикрытием для кибергруппировки Turla

11.09.2015

Согласно исследованию, проведенному экспертами «Лаборатории Касперского», целая группировка Turla, занимающаяся масштабным кибершпионажем, использовала для своего прикрытия спутниковый интернет для сокрытия физического местоположения своих серверов.

В «Лаборатории Касперского» провели специальное расследование деятельности русскоязычной кибер-группировка Turla, которая специализируется на масштабном компьютерном шпионаже.

Участники Turla применяли для маскировки особенности доступа к спутниковому интернету, используемому, в основном, в географически отдаленных районах разных стран, где широкополосный интернет недоступен.

При подключении к Сети по данной технологии происходит одностороннее соединение пользователя, запрос на получение информации отправляется через кабель или мобильную связь GPRS, а ответ приходит через спутник. Получаемый контент передается в незашифрованном виде. С помощью недорого оборудования и специального ПО такой трафик легко перехватить и получить данные, которые загружает пользователь. Кибергруппировка Turla использовала эту лазейку, чтобы скрывать местоположение серверов, с помощью которых она управляет атаками и где хранит собранные данные.

Схема подключения одностороннего спутникового Интернета

Схема работы кибер-шпионов выглядит следующим образом: атакующие сначала «слушают» трафик, исходящий от спутника, чтобы определить, какие IP-адреса находятся онлайн. Затем выбирают IP-адрес для использования маскировки своего сервера. После этого зараженным ранее компьютерам направляются команды на отправку данных на выбранный IP-адрес. Данные проходят через традиционные каналы к оператору спутникового Интернета, а затем, также через спутник, попадают к ничего не подозревающему пользователю.

«Лаборатория Касперского» провела анализ деятельности кибергруппировка Turla и выяснила, что она использует, в основном, провайдеров, работающих на Ближнем Востоке и в Африке. Например, атакующие отправляли данные на IP-адреса из Афганистана, Ливана, Конго, Ливии, Нигера, Нигерии, Сомали и Замбии.

Как отметили в ЛК, в их практике уже встречались, как минимум, три разные кибер-группировки, используовавшие в своей работе спутники. Однако вариант, который выбрала Turla, является наиболее интересным и необычным для достижения эффективного уровня анонимности. При этом, в общем-то, используются широко распространенные технологии. Исследования подтвердили, что за операциями Turla, вполне вероятно, стоят русскоязычные организаторы.

От их действий уже пострадали сотни пользователей в более чем в 45 странах, в частности правительственные и дипломатические учреждения, военные, образовательные, исследовательские организации, а также фармацевтические компании. Наиболшее число атак приходится на Казахстан, Россию, США, Китай и Вьетнам.

Источник: «Лаборатория Касперского»

Фото: компания-производитель