SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
14 Sep 2015

Русскоязычные кибершпионы используют спутники

Turla APT, также известная под названиями Snake и Uroboros, — это одна из самых продвинутых кибершпионских группировок в мире.

Она действует уже более 8 лет, но до прошлого года о ее операциях было известно не так много.

В частности, это исследование Epic Turla содержало примеры языковых артефактов, позволивших установить, что как минимум часть членов группировки говорит на русском языке. Например, эти люди используют кодировку Windows-1251, которая, как правило, служит для отображения кириллицы, а также слова вроде «Zagruzchik». Что делает группировку Turla особенно опасной и трудноуловимой, это не только сложные программные инструменты, но и сложный механизм маскировки командных серверов (command-and-control, C&C), основанный на использовании спутников.

Командные сервера — это основа любой продвинутой кибератаки. В то же время это ее самое уязвимое место, в которое всегда целятся исследователи и правоохранительные органы. На это есть две причины. Во-первых, командные сервера, как несложно догадаться из названия, используются для контроля всех операций. И если вам удастся вывести их из строя, это как минимум затруднит ход кампании, а то и вовсе ее разрушит. Во-вторых, командные сервера могут быть использованы органами, расследующими киберпреступление, для того чтобы отследить реальное местонахождение людей, стоящих за кампанией.

Поэтому киберпреступники всегда стараются спрятать C&C-сервера настолько глубоко, насколько они могут. И группировка Turla нашла весьма эффективный способ это сделать: они прячут сервера в небе. Вот в чем дело: одним из самых распространенных и недорогих вариантов спутникового доступа в Интернет является одностороннее соединение. В этом случае исходящие данные от компьютера пользователя идут по обычным линиям — проводным или сотовым, а входящий трафик приходит со спутника.

Такой вариант обеспечивает неплохой баланс скорости и цены, но у него есть один немаловажный недостаток: данные со спутника идут на пользовательские компьютеры в незашифрованном виде. Попросту говоря, любой желающий может их перехватить. И Turla использует этот технологический изъян новым, весьма интересным способом: для того чтобы прятать в потоке данных со спутника трафик C&C-серверов.

Вот как именно они это делают:

  1. Поток данных со спутника прослушивается для того, чтобы обнаружить IP-адреса пользователей, активных в данный момент.
  2. После этого выбирается некоторое количество активных адресов, которые будут использоваться для маскировки командных серверов без ведома владельцев этих адресов.
  3. Зараженные Turla компьютеры получают приказ отправлять все данные на выбранные в пункте 2 адреса. Данные идут по обычным линиям, потом поступают на спутник и оттуда транслируются на землю.
  4. Компьютеры пользователей, чьи адреса используются Turla, получают эти данные, но игнорируют их как мусорные. А вот киберпреступники аккуратно выбирают их из общего потока со спутника и используют дальше в своих целях.
     

Поскольку зона покрытия каждого спутника весьма велика по площади, отследить, где именно находится приемник кибершпионов, попросту невозможно. Чтобы сделать эту игру в кошки-мышки еще сложнее, группировка Turla использует для своих целей провайдеров из стран Ближнего Востока и Африки, таких как Конго, Ливан, Ливия, Нигер, Нигерия, Сомали и ОАЭ.

В зону покрытия этих спутников, как правило, не входят Европа и Северная Америка, поэтому большинству исследователей сложно изучать деятельность группировки. Кибершпионы из Turla уже заразили сотни компьютеров пользователей более чем из 45 стран, включая Казахстан, Россию, Китай, Вьетнам и США. Группировку в основном интересуют правительственные организации и посольства, оборонные и образовательные учреждения, исследовательские институты, а также фармацевтические компании.

Теги:
хакеры Россия APT наблюдение
Источник:
Kaspersky Daily
1684
ДРУГИЕ НОВОСТИ
3 Июль 2020 safeum news imgage Полиция произвела множество арестов, взломав защищённый мессенджер
4 Май 2020 safeum news imgage Европол сообщил об аресте членов польской хак-группы Infinity Black
12 Дек 2019 safeum news imgage Шифрование под угрозой. Как это отразится на нас
4 Ноя 2019 safeum news imgage Должны ли важные решения приниматься на основании лишь фактов, или интуиция имеет право на жизнь?
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
Все новости
SafeUM
Конфиденциальность Правила использования Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015