Их называют группами продвинутой постоянной угрозы и, согласно новому анализу, они «спускаются с небес», неся в себе потенциальную угрозу контрразведывательным агентствам, используя бреши в защите некоторых спутниковых коммуникаций, чтобы замести следы.
Группа Turla, занимающаяся кибер-шпионажем, использует с целью анонимности спутниковые Интернет-каналы связи. Она направляет трафик к своим командно-контрольным серверам через захваченные линии связи DVB-S интернета.
Среди прочих мощных препятствий деятельности так называемых APT-операторов, таких как группа Turla, занимающаяся кибер-шпионажем, – восстановление контроля над системой после того, как атака обнаружена, а используемые для неё домены и сервера закрыты провайдерами. В новом исследовании, опубликованном Лабораторией Касперского, говорится, что Turla и прочие продвинутые пользователи инструментов коммерческого взлома нашли способ обойти проблему наземных преград: они используют спутниковые интернет-соединения.
В сообщении на блоге компании от 9 сентября говорится, что её специалисты обнаружили использование группой Turla и двумя подобными компаниями спутниковых каналов связи для «маскировки своей деятельности». По словам аналитика Стефана Таниза, компанию Turla выделяет среди прочих не только сложность используемых инструментов, но также изысканные спутниковые механизмы (управления и контроля), используемые на последних стадиях атак.
Turla – интеллектуальная группа, занимающаяся кибер-шпионажем и ведущая активную деятельность на протяжении более восьми лет. Компанию подозревают в организации атак, поразивших сотни компьютеров в не менее 45 странах, среди которых – Китай, Россия и Соединённые Штаты (В США «рейтинг опасности» Turla считается «средним», признают в Лаборатории Касперского).
В компании заявили, что впервые «спутниковые атаки» были зарегистрированы примерно в 2007 году, но в то время они были относительно редкими. Чаще всего космические каналы связи используются для сокрытия атак путём использования спутниковой инфраструктуры для управления и контроля.
«Несмотря на то, что спутниковые соединения медленны, нестабильны и зависят от погодных условий, их использование в целях маскировки является весьма эффективным, поскольку оно затрудняет установление истинного местонахождения и физического состава оборудования (для управления и контроля) и препятствует его физическому отключению, – отмечает Таниз. – Приёмники спутникового интернета могут быть установлены где угодно в зоне покрытия спутника».
Кроме того, доступ к спутниковому интернету часто может осуществляться пиратским способом, без легальной подписки, и, как известно, группа Turla использует прямые каналы с целью маскировки своих хакерских атак. Эта технология отличается высокой анонимностью, – отмечает Таниз.
В Лаборатории Каспреского пытались определить, действительно ли Turla и другие организаторы атак покупали спутниковые каналы, или же взламывали каналы провайдеров, осуществляя «перехват» потока на уровне маршрутизатора. В Лаборатории пришли к выводу, что метод, используемый компанией Turla невероятно прост, понятен и состоит в использовании IP-адресов, принадлежащих интернет-провайдерам из стран Африки и Ближнего Востока.
«В группе стремятся выбирать провайдеров, использующих спутники, покрытие которых ограничивается территорией Африки, – говорится в отчёте кибер-аналитической лаборатории. – Поэтому для исследователей из стран, лежащих за пределами Африки, чрезвычайно сложно расследовать деятельность группы Turla».
Кроме того, аналитики из Лаборатории Касперского обнаружили, что основным способом использования компанией спутниковых интернет-служб был перехват каналов связи Цифрового телерадиовещания (DVB-S), которые, в отличие от полнодуплексных сигналов спутникового интернета, не шифруются, что делает их уязвимыми для атаки. Для этого требуется иметь лишь тюнер DVB-S (обычно – в виде PCIe карты), спутниковая тарелка, размер и направление которой определяется местонахождением пользователя относительно спутника, приёмный конвертер и компьютер – предпочтительно под Linux.
«Технический метод, используемый для реализации таких интернет-схем, основан на перехвате нисходящего потока данных Интернета от тех или иных провайдеров и подделке пакетов», либо на создании IP-пакетов, используя в качестве источника фальшивые IP-адреса, – подводит итоги Таниз. – Если данный метод широко распространится среди APT-групп или, что ещё хуже, кибер-преступных групп, это будет нести серьёзную проблему для IT-безопасности и служб контрразведки».
