Turla APT, также известная под названиями Snake и Uroboros, — это одна из самых продвинутых кибершпионских группировок в мире.
Она действует уже более 8 лет, но до прошлого года о ее операциях было известно не так много.
В частности, это исследование Epic Turla содержало примеры языковых артефактов, позволивших установить, что как минимум часть членов группировки говорит на русском языке. Например, эти люди используют кодировку Windows-1251, которая, как правило, служит для отображения кириллицы, а также слова вроде «Zagruzchik». Что делает группировку Turla особенно опасной и трудноуловимой, это не только сложные программные инструменты, но и сложный механизм маскировки командных серверов (command-and-control, C&C), основанный на использовании спутников.
Командные сервера — это основа любой продвинутой кибератаки. В то же время это ее самое уязвимое место, в которое всегда целятся исследователи и правоохранительные органы. На это есть две причины. Во-первых, командные сервера, как несложно догадаться из названия, используются для контроля всех операций. И если вам удастся вывести их из строя, это как минимум затруднит ход кампании, а то и вовсе ее разрушит. Во-вторых, командные сервера могут быть использованы органами, расследующими киберпреступление, для того чтобы отследить реальное местонахождение людей, стоящих за кампанией.
Поэтому киберпреступники всегда стараются спрятать C&C-сервера настолько глубоко, насколько они могут. И группировка Turla нашла весьма эффективный способ это сделать: они прячут сервера в небе. Вот в чем дело: одним из самых распространенных и недорогих вариантов спутникового доступа в Интернет является одностороннее соединение. В этом случае исходящие данные от компьютера пользователя идут по обычным линиям — проводным или сотовым, а входящий трафик приходит со спутника.
Такой вариант обеспечивает неплохой баланс скорости и цены, но у него есть один немаловажный недостаток: данные со спутника идут на пользовательские компьютеры в незашифрованном виде. Попросту говоря, любой желающий может их перехватить. И Turla использует этот технологический изъян новым, весьма интересным способом: для того чтобы прятать в потоке данных со спутника трафик C&C-серверов.
Вот как именно они это делают:
- Поток данных со спутника прослушивается для того, чтобы обнаружить IP-адреса пользователей, активных в данный момент.
- После этого выбирается некоторое количество активных адресов, которые будут использоваться для маскировки командных серверов без ведома владельцев этих адресов.
- Зараженные Turla компьютеры получают приказ отправлять все данные на выбранные в пункте 2 адреса. Данные идут по обычным линиям, потом поступают на спутник и оттуда транслируются на землю.
- Компьютеры пользователей, чьи адреса используются Turla, получают эти данные, но игнорируют их как мусорные. А вот киберпреступники аккуратно выбирают их из общего потока со спутника и используют дальше в своих целях.
Поскольку зона покрытия каждого спутника весьма велика по площади, отследить, где именно находится приемник кибершпионов, попросту невозможно. Чтобы сделать эту игру в кошки-мышки еще сложнее, группировка Turla использует для своих целей провайдеров из стран Ближнего Востока и Африки, таких как Конго, Ливан, Ливия, Нигер, Нигерия, Сомали и ОАЭ.
В зону покрытия этих спутников, как правило, не входят Европа и Северная Америка, поэтому большинству исследователей сложно изучать деятельность группировки. Кибершпионы из Turla уже заразили сотни компьютеров пользователей более чем из 45 стран, включая Казахстан, Россию, Китай, Вьетнам и США. Группировку в основном интересуют правительственные организации и посольства, оборонные и образовательные учреждения, исследовательские институты, а также фармацевтические компании.
