Четверг, 28 мая, 08:14
дома инет Turla: использует спутники для абсолютного уровня анонимности

Turla: использует спутники для абсолютного уровня анонимности

Во время расследования пресловутого русскоязычного агентства цифрового шпионажа TurlaИсследователи «Лаборатории Касперского» выяснили, как они избегали определять местонахождение своей деятельности и физическое местоположение.

Для обеспечения анонимности эта группа использует уязвимости безопасности в глобальных спутниковых сетях.Turla

Turla - продвинутая команда по цифровому шпионажу, работающая на протяжении 8 лет. Злоумышленники из команды Turla «загрязнили» сотни компьютеров в более чем странах 45, включая Казахстан, Россию, Китай, Вьетнам и Соединенные Штаты.

Пострадавшие учреждения включают правительственные органы и посольства, военные организации, академические и исследовательские учреждения и фармацевтические компании. На начальном этапе, черный ход Эпический развивает профиль жертв. Тогда - и только для целей более высокого уровня - злоумышленники используют обширный механизм спутниковой связи на более поздних стадиях атаки, чтобы помочь им догнать их следы.

Спутниковая связь в основном известна как инструмент для трансляции телевизионных сигналов и для безопасной связи. Тем не менее, они также используются для обеспечения доступа в Интернет. Эти службы в основном используются в удаленных местах, где все другие виды доступа в Интернет либо нестабильны, либо запаздывают, либо доступны не всем. Одним из наиболее распространенных и дешевых типов спутниковых интернет-соединений является так называемая односторонняя спутниковая связь, которая позволяет только скачивать.

В этом случае исходящие запросы от компьютера пользователя передаются по обычным линиям (проводное или GPRS-соединение) со всем входящим трафиком, исходящим со спутника.

Эта технология позволяет пользователю иметь относительно высокую скорость загрузки. Однако у него есть большой недостаток: набор нисходящего трафика возвращается на компьютер без шифрования. Любой недобросовестный пользователь, обладающий соответствующим и относительно недорогим оборудованием и программным обеспечением, может просто отслеживать трафик и получать доступ ко всем данным, загруженным пользователями этих ссылок.

Команда Turla по-разному использует эту уязвимость, используя ее для сокрытия позиции своего сервера Command & Control (C & C), который является одной из наиболее важных частей вредоносной инфраструктуры.

Сервер C & C - это, по сути, «местоположение» вредоносного ПО, работающего на целевых компьютерах. Обнаружение местоположения такого сервера может привести к тому, что исследователи узнают подробности об операторе, стоящем за бизнесом.

Вот как команда Turla избегает этих рисков:

  1. Команда сначала «слушает» «загрузку» данных со спутника, чтобы найти активные IP-адреса пользователей Интернета, которые в данный момент находятся в сети.
  2. Затем он выбирает IP-адрес, который будет использоваться для покрытия сервера C & C без уведомления законного пользователя.
  3. Машины, которые были «заражены» оператором Turla, затем получают указание передать данные на выбранные IP-адреса пользователей спутникового Интернета. Данные проходят по обычным линиям в телеуслугах провайдера спутникового интернета, доходят до спутника и, наконец, через спутник достигают пользователей с выбранными IP-адресами.

Интересно, что законный пользователь, чей IP-адрес использовался злоумышленниками для получения данных с «зараженной» машины, также получит эти пакеты данных, но едва заметит их. Это связано с тем, что злоумышленники Turla назначают «зараженные» машины для отправки данных в порты, которые в большинстве случаев по умолчанию закрыты. Таким образом, компьютер легитимного пользователя просто отклонит эти пакеты, в то время как C & C-сервер Turla, который поддерживает эти порты открытыми, будет принимать и обрабатывать украденные данные.serpent_map-4-наймы

Еще одна интересная особенность тактики Turla заключается в том, что она использует спутниковых интернет-провайдеров из стран Ближнего Востока и Африки. В своем исследовании специалисты «Лаборатории Касперского» определили группу Turla, используя IP-адреса провайдеров, расположенных в таких странах, как Конго, Ливан, Ливия, Нигер, Нигерия, Сомали или Объединенные Арабские Эмираты.

Спутниковые лучи, используемые поставщиками в этих странах, обычно не охватывают области в Европе и Северной Америке, что делает очень трудным расследование таких атак для большинства исследователей безопасности.

«В прошлом мы встречали, по крайней мере, трех разных операторов, которые использовали спутниковую связь для освещения своей деятельности. Из них решение, разработанное командой Turla, является наиболее интересным и необычным. Он способен достичь абсолютного уровня анонимности, используя широко используемую технологию одностороннего спутникового Интернета. Злоумышленники могут находиться в любом месте в радиусе действия выбранного ими спутника, то есть в пределах зоны, которая может охватывать тысячи квадратных километров, сказал Стефан Танасе, старший научный сотрудник Лаборатории Касперского. И он продолжил комментировать:Это делает почти невозможным найти злоумышленника. Поскольку использование этих методов становится все более популярным, системным операторам важно разрабатывать надежные стратегии защиты для смягчения атак ».

Продукты «Лаборатории Касперского» обнаруживают и блокируют вредоносное ПО, используемое агентом-угрозой Turla, под кодовыми именами: Backdoor.Win32.Turla *, Rootkit.Win32.Turla *, HEUR: Trojan.Win32.Epiccosplay.gen и HEUR: Trojan .Win32.Generic.

Для получения дополнительной информации о механизмах злоупотребления спутниковой связью, используемых шпионской группой Turla, и для просмотра показателей компромисса вы можете посетить сайт Securelist.com.

Посмотрите видео и узнайте больше о том, как продукты «Лаборатории Касперского» могут помочь защитить деятельность Turla, в специальной веб-страницы компании.

Кроме того, более подробная информация о деятельности других русскоязычных команд по цифровому шпионажу доступна в другом специальный сайт Лаборатории Касперского.

Для получения дополнительной информации об изучении расширенных целевых атак, вы можете посмотреть один короткое видео Лаборатории Касперского.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

SecNews
SecNewshttps://www.secnews.gr
В мире без заборов и стен, которым нужны ворота и окна

LIVE NEWS

Linux Kodachi: версия v7.0 была выпущена со многими новыми приложениями

Недавно была выпущена новая версия Linux Kodachi. Хотя эта функция не очень известна ...

Безопасность в облаке: усилить атаки на онлайн-сервисы

В последние месяцы атаки киберпространства, нацеленные на облачные сервисы, значительно усилились, поскольку киберпреступники пытаются ...

Ransomware: выкуп, требуемый хакерами, увеличился в 14 раз

Ransomware стал одной из самых коварных угроз за последние два года, когда хакеры усиливают свою деятельность ...

Новая поправка для онлайн-наблюдения за американцами!

После трех дней переговоров члены парламента достигли соглашения о защите частной жизни американских граждан. Поправка ...

Дональд Трамп против Твиттера или Твиттер против Дональда Трампа?

Во вторник Twitter указал на два твита Дональда Трампа, в которых утверждалось, что голосование по почте может ...

Приложение Aarogya Setu Индии с открытым исходным кодом

Индия недавно объявила, что выпустит исходный код приложения для мониторинга короны, известного как ...

Samsung разрабатывает новый чип безопасности для смартфонов

Как было объявлено во вторник, Samsung выпустила новую микросхему защищенного элемента (SE) для более эффективной защиты ...

Красный Крест: «Давайте прекратим кибератаки в больницах»

Красный Крест и другие организации призывают правительства создать альянс, чтобы остановить кибератаки в больницах.

LiveJournal: миллионы пользовательских учетных данных продаются в темной сети

Учетные данные и данные от 26 миллионов пользователей LiveJournal продаются в Интернете и в темной сети.

Линус Торвальдс обновил свой компьютер до процессора AMD

Когда-то для многих пользователей процессоры AMD уступали процессорам Intel. С...