Cum reuşeşte gruparea de spionaj cibernetic Turla să se ascundă?

10.09.2015

Cercetătorii Kaspersky Lab au descoperit, când investigau gruparea de spionaj cibernetic Turla, modalitatea prin care reușește să evite depistarea activității sale și localizarea geografică. Astfel, pentru a-și păstra anonimatul, Turla folosește slăbiciunile din securitatea rețelelor de satelit globale.

Turla este o grupare de spionaj cibernetic foarte sofisticată, formată din persoane vorbitoare de limba rusă. Grupareae activează de mai bine de 8 ani, iar atacatorii care se ascund în spatele grupării au infectat sute de calculatoare din peste 45 de țări,

Printre ţintele grupării se numără şi instituții guvernamentale și ambasade, precum și organizații din domeniul militar, al educației și cercetării și companii farmaceutice.

„În cazul țintelor cu o miză foarte mare, atacatorii folosesc un mecanism de comunicare complex prin satelit, într-un stadiu al atacului mai avansat, fapt care îi ajută să-și ascundă urmele. Comunicațiile prin satelit sunt, cel mai adesea, cunoscute drept un instrument de comunicare sigur pentru transmisia TV. Cu toate acestea, sunt folosite și pentru a oferi acces la internet. Astfel de servicii sunt frecvent folosite în zine îndepărtate, unde toate celelalte modalități de acces la internet sunt fie instabile, fie au o conexiune lentă sau sunt indisponibile”, au explicat reprezentanţii Kaspersky Lab.

Conform acestora, una dintre cele mai răspândite și puţin costisitoare tipuri de conexiune la internet prin satelit este conexiune de tip downstream-only. Cererile de ieșire din PC-ul unui utilizator sunt, în acest caz, comunicate prin linii convenționale (conexiune prin fir sau GPRS), traficul de intrare provenind prin satelit.

„Această tehnologie permite utilizatorului să obțină o viteză de descărcare relativ rapidă. Cu toate acestea, există un mare dezavantaj: întregul trafic descărcat se întoarce către computer necriptat. Orice utilizator obișnuit, cu softul și echipamentul potrivit ar putea intercepta, cu usurință, traficul și obține acces la toate informațiile pe care utilizatorii acestor legături le descarcă”, au mai afirmat specialiştii Kaspersky Lab.

Prin urmare, gruparea Turla profită de această slăbiciune pentru a-și ascunde locul unde se află serverele de comandă și control, una dintre cele mai importante părți ale infrastructurii malware. S

“În trecut, am mai văzut cel puțin trei actori diferiți care foloseau linkuri de internet prin satelit pentru a-și masca operațiunile. Dintre aceștia, soluția dezvoltată de gruparea Turla este cea mai interesantă și neobișnuită. Sunt capabili să atingă cel mai înalt nivel al anonimatului exploatând o tehnologie utilizată la scară largă – internetul prin satelit de tip one-way broadband. Atacatorii pot fi oriunde pe raza satelitului ales, o suprafață care poate depăși mii de km2. Acest lucru face aproape imposibilă localizarea atacatorului. Pe măsură ce folosirea acestor metode devine din ce în ce mai cunoscută, este important ca administratorii de sistem să folosească strategii de apărare pentru preîntâmpinarea unor astfel de atacuri”, a explicat Ștefan Tănase, Senior Security Researcher în cadrul Kaspersky Lab.

 

 

Citiți și despre: