俄語網(wǎng)絡(luò)間諜組織Turla利用衛(wèi)星實現(xiàn)匿名性

責(zé)任編輯:editor006

作者:子鉃

2015-10-12 17:37:02

摘自:賽迪網(wǎng)

卡巴斯基實驗室在調(diào)查臭名昭著的俄語網(wǎng)絡(luò)間諜組織Turla時,發(fā)現(xiàn)該組織利用全球衛(wèi)星網(wǎng)絡(luò)中的安全漏洞實現(xiàn)匿名性,隱藏其攻擊行為和地理位置不被發(fā)現(xiàn)。

卡巴斯基實驗室在調(diào)查臭名昭著的俄語網(wǎng)絡(luò)間諜組織Turla時,發(fā)現(xiàn)該組織利用全球衛(wèi)星網(wǎng)絡(luò)中的安全漏洞實現(xiàn)匿名性,隱藏其攻擊行為和地理位置不被發(fā)現(xiàn)。Turla是一個復(fù)雜的網(wǎng)絡(luò)間諜組織,其活躍時間已經(jīng)超過八年。Turla幕后的攻擊者在全球超過45個國家感染了數(shù)以萬計的計算機,其中包括哈薩克斯坦、俄羅斯、中國、越南和美國。目前,卡巴斯基實驗室的個人與企業(yè)版產(chǎn)品均能成功檢測和攔截Turla攻擊組織所使用的惡意軟件,并已將其檢測為:Backdoor.Win32.Turla.*、Rootkit.Win32.Turla.*、HEUR:Trojan.Win32.Epiccosplay.gen和HEUR:Trojan.Win32.Generic。

kt01

據(jù)了解,受Turla網(wǎng)絡(luò)間諜組織影響的組織類型包括政府機構(gòu)和大使館以及軍事、教育、研究和制藥公司等。在攻擊初始階段,Epic后門程序會對受害者進行分析。只有針對最為重要的目標(biāo),攻擊者才會使用基于衛(wèi)星的通訊機制用于進行后期攻擊,這種通訊方式有助于他們隱藏自身蹤跡。

衛(wèi)星通信主要被用作電視廣播以及安全通訊,但是,其同樣可用于提供互聯(lián)網(wǎng)訪問。這種服務(wù)主要用于偏遠(yuǎn)地區(qū),因為這些地區(qū)的互聯(lián)網(wǎng)接入不穩(wěn)定、較慢或根本沒有相關(guān)服務(wù)。其中,使用最為廣泛,費用最為低廉的基于衛(wèi)星的互聯(lián)網(wǎng)接入服務(wù)是一種被稱為下行連接。

在這種情況下,來自用戶計算機的出站請求通過傳統(tǒng)線路(有限連接或GPRS連接)進行通訊,而入站通訊則來自衛(wèi)星。這種技術(shù)能夠讓用戶獲得相對較快的下載速度。但是,它有一個很大的缺點:所有返回到計算機的下行通訊是未加密的。惡意用戶可以使用并不昂貴的設(shè)備和軟件,輕松攔截用戶通訊,訪問到用戶下載的所有鏈接和數(shù)據(jù)信息。

Turla網(wǎng)絡(luò)間諜組織的不同之處在于其利用了該技術(shù)中的漏洞:他們使用這種技術(shù),隱藏其命令和控制服務(wù)器(C&C)的位置,而命令和控制服務(wù)器是惡意基礎(chǔ)設(shè)施最重要的一個部分之一。命令和控制服務(wù)器是部署在被攻擊計算機上的惡意軟件的“大本營”。如果找到這些服務(wù)器的位置,就能夠揭開攻擊行動幕后的攻擊組織詳情。Turla網(wǎng)絡(luò)間諜組織采用以下手段避免這種風(fēng)險:

1. 間諜組織首先“監(jiān)聽”來自衛(wèi)星的下行流量,確認(rèn)當(dāng)時正在線使用基于衛(wèi)星的互聯(lián)網(wǎng)服務(wù)用戶的活躍IP地址。

2. 他們會選擇一個在線IP地址,用來掩蓋命令和控制服務(wù)器,而合法用戶根本不會察覺。

3. 受Turla感染的計算機會收到指令,將竊取到的數(shù)據(jù)發(fā)送到使用基于衛(wèi)星的互聯(lián)網(wǎng)用戶的IP地址。數(shù)據(jù)通過傳統(tǒng)線路發(fā)送到衛(wèi)星互聯(lián)網(wǎng)服務(wù)商的遠(yuǎn)程端口,之后被發(fā)送到衛(wèi)星,最后從衛(wèi)星發(fā)送到被選定的用戶IP地址。

有趣的是,攻擊者使用合法用戶的IP地址接收來自受感染計算機的數(shù)據(jù),這些合法用戶同樣會受到這些數(shù)據(jù)包,但很少會注意到這些數(shù)據(jù)包。這是因為Turla攻擊者控制受感染計算機將數(shù)據(jù)發(fā)送到那些通常默認(rèn)關(guān)閉的端口,所以合法用戶的計算機會丟棄這些數(shù)據(jù)包。而Turla命令和控制服務(wù)器則開放這些端口,能夠收到和處理這些竊取到的數(shù)據(jù)。

Turla攻擊者所采取的策略還有一個特別之處,即他們會優(yōu)先使用位于中東和非洲國家的衛(wèi)星互聯(lián)網(wǎng)連接服務(wù)商。根據(jù)研究,卡巴斯基實驗室專家發(fā)現(xiàn)Turla組織使用了位于剛果、黎巴嫩、利比亞、尼日爾、尼日利亞、索馬里以及阿聯(lián)酋等國家的衛(wèi)星服務(wù)提供商的IP。

kt02

這些國家的衛(wèi)星互聯(lián)網(wǎng)服務(wù)提供商所使用的衛(wèi)星波束通常不會覆蓋歐洲和北美區(qū)域,這使得大多數(shù)安全研究人員很難對這些攻擊進行調(diào)查。

在談及這一重大發(fā)現(xiàn)時,卡巴斯基實驗室資深安全研究員Stefan Tanase表示:“過去,我們至少發(fā)現(xiàn)有三個不同的攻擊組織會使用基于衛(wèi)星的互聯(lián)網(wǎng)連接隱藏自身的攻擊行動。其中,Turla網(wǎng)絡(luò)間諜組織所開發(fā)的手段最為有趣和非比尋常。通過利用這種應(yīng)用廣泛的單向衛(wèi)星互聯(lián)網(wǎng)技術(shù),他們可以實現(xiàn)高度匿名性。攻擊者可以在選定衛(wèi)星的覆蓋范圍內(nèi)任何地方,這一面積可超過數(shù)千平方千米。這使得追蹤攻擊者幾乎不可能。隨著這種手段的使用變得更為普及,要求系統(tǒng)管理員需要部署正確的防御策略,抵御這種攻擊,這一點非常重要。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號