Turla APT, также известная под названиями Snake и Uroboros, — это одна из самых продвинутых кибершпионских группировок в мире.
Она действует уже более 8 лет, но до прошлого года о ее операциях было известно не так много.
В частности, это исследование Epic Turla содержало примеры языковых артефактов, позволивших установить, что как минимум часть членов группировки говорит на русском языке. Например, эти люди используют кодировку Windows-1251, которая, как правило, служит для отображения кириллицы, а также слова вроде «Zagruzchik». Что делает группировку Turla особенно опасной и трудноуловимой, это не только сложные программные инструменты, но и сложный механизм маскировки командных серверов (command-and-control, C&C), основанный на использовании спутников.
Командные сервера — это основа любой продвинутой кибератаки. В то же время это ее самое уязвимое место, в которое всегда целятся исследователи и правоохранительные органы. На это есть две причины. Во-первых, командные сервера, как несложно догадаться из названия, используются для контроля всех операций. И если вам удастся вывести их из строя, это как минимум затруднит ход кампании, а то и вовсе ее разрушит. Во-вторых, командные сервера могут быть использованы органами, расследующими киберпреступление, для того чтобы отследить реальное местонахождение людей, стоящих за кампанией.
Поэтому киберпреступники всегда стараются спрятать C&C-сервера настолько глубоко, насколько они могут. И группировка Turla нашла весьма эффективный способ это сделать: они прячут сервера в небе. Вот в чем дело: одним из самых распространенных и недорогих вариантов спутникового доступа в Интернет является одностороннее соединение. В этом случае исходящие данные от компьютера пользователя идут по обычным линиям — проводным или сотовым, а входящий трафик приходит со спутника.
Такой вариант обеспечивает неплохой баланс скорости и цены, но у него есть один немаловажный недостаток: данные со спутника идут на пользовательские компьютеры в незашифрованном виде. Попросту говоря, любой желающий может их перехватить. И Turla использует этот технологический изъян новым, весьма интересным способом: для того чтобы прятать в потоке данных со спутника трафик C&C-серверов.
Вот как именно они это делают:
Поскольку зона покрытия каждого спутника весьма велика по площади, отследить, где именно находится приемник кибершпионов, попросту невозможно. Чтобы сделать эту игру в кошки-мышки еще сложнее, группировка Turla использует для своих целей провайдеров из стран Ближнего Востока и Африки, таких как Конго, Ливан, Ливия, Нигер, Нигерия, Сомали и ОАЭ.
В зону покрытия этих спутников, как правило, не входят Европа и Северная Америка, поэтому большинству исследователей сложно изучать деятельность группировки. Кибершпионы из Turla уже заразили сотни компьютеров пользователей более чем из 45 стран, включая Казахстан, Россию, Китай, Вьетнам и США. Группировку в основном интересуют правительственные организации и посольства, оборонные и образовательные учреждения, исследовательские институты, а также фармацевтические компании.
Axarhöfði 14,
110 Reykjavik, Iceland