a.heateor_sss_amp{padding:0 4px;}div.heateor_sss_horizontal_sharing a amp-img{display:inline-block;}.heateor_sss_amp_gab img{background-color:#25CC80}.heateor_sss_amp_parler img{background-color:#892E5E}.heateor_sss_amp_gettr img{background-color:#E50000}.heateor_sss_amp_instagram img{background-color:#624E47}.heateor_sss_amp_yummly img{background-color:#E16120}.heateor_sss_amp_youtube img{background-color:#ff0000}.heateor_sss_amp_teams img{background-color:#5059c9}.heateor_sss_amp_google_translate img{background-color:#528ff5}.heateor_sss_amp_x img{background-color:#2a2a2a}.heateor_sss_amp_rutube img{background-color:#14191f}.heateor_sss_amp_buffer img{background-color:#000}.heateor_sss_amp_delicious img{background-color:#53BEEE}.heateor_sss_amp_rss img{background-color:#e3702d}.heateor_sss_amp_facebook img{background-color:#0765FE}.heateor_sss_amp_digg img{background-color:#006094}.heateor_sss_amp_email img{background-color:#649A3F}.heateor_sss_amp_float_it img{background-color:#53BEEE}.heateor_sss_amp_linkedin img{background-color:#0077B5}.heateor_sss_amp_pinterest img{background-color:#CC2329}.heateor_sss_amp_print img{background-color:#FD6500}.heateor_sss_amp_reddit img{background-color:#FF5700}.heateor_sss_amp_mastodon img{background-color:#6364FF}.heateor_sss_amp_stocktwits img{background-color: #40576F}.heateor_sss_amp_mewe img{background-color:#007da1}.heateor_sss_amp_mix img{background-color:#ff8226}.heateor_sss_amp_tumblr img{background-color:#29435D}.heateor_sss_amp_twitter img{background-color:#55acee}.heateor_sss_amp_vkontakte img{background-color:#0077FF}.heateor_sss_amp_yahoo img{background-color:#8F03CC}.heateor_sss_amp_xing img{background-color:#00797D}.heateor_sss_amp_instagram img{background-color:#527FA4}.heateor_sss_amp_whatsapp img{background-color:#55EB4C}.heateor_sss_amp_aim img{background-color: #10ff00}.heateor_sss_amp_amazon_wish_list img{background-color: #ffe000}.heateor_sss_amp_aol_mail img{background-color: #2A2A2A}.heateor_sss_amp_app_net img{background-color: #5D5D5D}.heateor_sss_amp_balatarin img{background-color: #fff}.heateor_sss_amp_bibsonomy img{background-color: #000}.heateor_sss_amp_bitty_browser img{background-color: #EFEFEF}.heateor_sss_amp_blinklist img{background-color: #3D3C3B}.heateor_sss_amp_blogger_post img{background-color: #FDA352}.heateor_sss_amp_blogmarks img{background-color: #535353}.heateor_sss_amp_bookmarks_fr img{background-color: #E8EAD4}.heateor_sss_amp_box_net img{background-color: #1A74B0}.heateor_sss_amp_buddymarks img{background-color: #ffd400}.heateor_sss_amp_care2_news img{background-color: #6EB43F}.heateor_sss_amp_comment img{background-color: #444}.heateor_sss_amp_diary_ru img{background-color: #E8D8C6}.heateor_sss_amp_diaspora img{background-color: #2E3436}.heateor_sss_amp_dihitt img{background-color: #FF6300}.heateor_sss_amp_diigo img{background-color: #4A8BCA}.heateor_sss_amp_douban img{background-color: #497700}.heateor_sss_amp_draugiem img{background-color: #ffad66}.heateor_sss_amp_evernote img{background-color: #8BE056}.heateor_sss_amp_facebook_messenger img{background-color: #0084FF}.heateor_sss_amp_fark img{background-color: #555}.heateor_sss_amp_fintel img{background-color: #087515}.heateor_sss_amp_flipboard img{background-color: #CC0000}.heateor_sss_amp_folkd img{background-color: #0F70B2}.heateor_sss_amp_google_news img{background-color: #4285F4}.heateor_sss_amp_google_classroom img{background-color: #FFC112}.heateor_sss_amp_google_gmail img{background-color: #E5E5E5}.heateor_sss_amp_hacker_news img{background-color: #F60}.heateor_sss_amp_hatena img{background-color: #00A6DB}.heateor_sss_amp_instapaper img{background-color: #EDEDED}.heateor_sss_amp_jamespot img{background-color: #FF9E2C}.heateor_sss_amp_kakao img{background-color: #FCB700}.heateor_sss_amp_kik img{background-color: #2A2A2A}.heateor_sss_amp_kindle_it img{background-color: #2A2A2A}.heateor_sss_amp_known img{background-color: #fff101}.heateor_sss_amp_line img{background-color: #00C300}.heateor_sss_amp_livejournal img{background-color: #EDEDED}.heateor_sss_amp_mail_ru img{background-color: #356FAC}.heateor_sss_amp_mendeley img{background-color: #A70805}.heateor_sss_amp_meneame img{background-color: #FF7D12}.heateor_sss_amp_mixi img{background-color: #EDEDED}.heateor_sss_amp_myspace img{background-color: #2A2A2A}.heateor_sss_amp_netlog img{background-color: #2A2A2A}.heateor_sss_amp_netvouz img{background-color: #c0ff00}.heateor_sss_amp_newsvine img{background-color: #055D00}.heateor_sss_amp_nujij img{background-color: #D40000}.heateor_sss_amp_odnoklassniki img{background-color: #F2720C}.heateor_sss_amp_oknotizie img{background-color: #fdff88}.heateor_sss_amp_outlook_com img{background-color: #0072C6}.heateor_sss_amp_papaly img{background-color: #3AC0F6}.heateor_sss_amp_pinboard img{background-color: #1341DE}.heateor_sss_amp_plurk img{background-color: #CF682F}.heateor_sss_amp_pocket img{background-color: #ee4056}.heateor_sss_amp_polyvore img{background-color: #2A2A2A}.heateor_sss_amp_printfriendly img{background-color: #61D1D5}.heateor_sss_amp_protopage_bookmarks img{background-color: #413FFF}.heateor_sss_amp_pusha img{background-color: #0072B8}.heateor_sss_amp_qzone img{background-color: #2B82D9}.heateor_sss_amp_refind img{background-color: #1492ef}.heateor_sss_amp_rediff_mypage img{background-color: #D20000}.heateor_sss_amp_renren img{background-color: #005EAC}.heateor_sss_amp_segnalo img{background-color: #fdff88}.heateor_sss_amp_sina_weibo img{background-color: #ff0}.heateor_sss_amp_sitejot img{background-color: #ffc800}.heateor_sss_amp_skype img{background-color: #00AFF0}.heateor_sss_amp_sms img{background-color: #6ebe45}.heateor_sss_amp_slashdot img{background-color: #004242}.heateor_sss_amp_stumpedia img{background-color: #EDEDED}.heateor_sss_amp_svejo img{background-color: #fa7aa3}.heateor_sss_amp_symbaloo_feeds img{background-color: #6DA8F7}.heateor_sss_amp_telegram img{background-color: #3DA5f1}.heateor_sss_amp_trello img{background-color: #1189CE}.heateor_sss_amp_tuenti img{background-color: #0075C9}.heateor_sss_amp_twiddla img{background-color: #EDEDED}.heateor_sss_amp_typepad_post img{background-color: #2A2A2A}.heateor_sss_amp_viadeo img{background-color: #2A2A2A}.heateor_sss_amp_viber img{background-color: #8B628F}.heateor_sss_amp_webnews img{background-color: #CC2512}.heateor_sss_amp_wordpress img{background-color: #464646}.heateor_sss_amp_wykop img{background-color: #367DA9}.heateor_sss_amp_yahoo_mail img{background-color: #400090}.heateor_sss_amp_yahoo_messenger img{background-color: #400090}.heateor_sss_amp_yoolink img{background-color: #A2C538}.heateor_sss_amp_youmob img{background-color: #3B599D}.heateor_sss_amp_gentlereader img{background-color: #46aecf}.heateor_sss_amp_threema img{background-color: #2A2A2A}.heateor_sss_amp_bluesky img{background-color:#0085ff}.heateor_sss_amp_threads img{background-color:#000}.heateor_sss_amp_raindrop img{background-color:#0b7ed0}.heateor_sss_amp_micro_blog img{background-color:#ff8800}

Site icon Insiderblog.hu

Orosz kiberkémek műholdon át támadnak

HGabor

Miközben a hírhedt orosz nyelvű kiberkém csoport, a Turla ellen nyomoztak, a Kaspersky Lab kutatói felfedezték, hogyan rejtik el a hackerek a tevékenységüket és a földrajzi helyüket. Az anonimitás elérése érdekében globális műhold hálózatokat használ a csoport.

A Turla egy képzett kiberkém csoport, amely már több mint 8 éve aktív. A Turla támadói több száz számítógépet fertőztek meg 45 országban, többek között Kazahsztánban, Oroszországban, Kínában, Vietnámban és az Egyesült Államokban. A támadást elszenvedett szervezetek között vannak kormányzati intézmények, nagykövetségek, katonai, oktatási és kutatóközpontok, valamint gyógyszeripari cégek. A kezdeti szakaszban az Epic backdoor program profilírozza az áldozatokat. Kizárólag a legmagasabb besorolású célpontok esetében a támadás későbbi fázisaiban a támadók kiterjedt műholdas kommunikációs mechanizmust használnak, amely segít elrejteni a nyomaikat.

A műholdas kommunikáció leginkább a televíziós műsorszórás és a biztonságos kommunikáció eszközeként ismert, de internetszolgáltatáshoz is használják főként olyan távoli helyeken, ahol az internethozzáférés más módszerei lassúak és megbízhatatlanok, vagy egyáltalán nem érhetők el. Az egyik legelterjedtebb és legolcsóbb műhold alapú internet kapcsolat az úgynevezett “downstream-only” hozzáférés.

Ebben az esetben a felhasználó kimenő kérései hagyományos módon (vezetékes vagy GPRS kapcsolaton) jutnak célba, míg az összes bejövő forgalom a műholdról érkezik. Ez a technológia lehetővé teszi a felhasználó számára a viszonylag gyors letöltési sebességet, azonban van egy nagy hátránya: az összes beérkező forgalom kódoltalanul jut el a számítógépre. Bármely rosszindulatú felhasználó a megfelelő, olcsón megvásárolható berendezés és szoftver birtokában könnyedén kiszimatolhatja az internetforgalmat, és hozzáférhet minden adathoz, amelyet a felhasználók ily módon töltenek le.

A Turla csoport másképpen használja ki ezt a gyengeséget: ennek segítségével rejti el a parancs és vezérlő (C&C) szerverei elhelyezkedését. Ezek a szerverek az egyik legfontosabb részei a rosszindulatú infrastruktúrának. A C&C szerver lényegében a megcélzott gépekre telepített rosszindulatú programok bázisaként szolgál. Egy ilyen szerver helyének felfedezése elvezetheti a nyomozókat a kiberkémkedést irányító hackerekhez. A Turla csoport az alábbi módon kerüli el ennek a kockázatát:

  1. A csoport először „belehallgat” a műholdas adatforgalomba, hogy azonosítsa a műholdas internetet éppen használók IP címét.

2.Ezután kiválasztanak egy online IP címet, amely alá elrejtik a C&C szervert a felhasználó tudta nélkül.

  1. Ezután a Turla által megfertőzött gépek utasítást kapnak, hogy küldjenek adatokat a műholdas kapcsolatot igénybe vevő, kiválasztott felhasználók IP címére. Az adat hagyományos vonalakon halad a műholdas internet szolgáltatóhoz, majd felkerül a műholdra, végül a műholdról a kiválasztott IP címekre.

Érdekes módon, a legális felhasználó, akinek az IP címét a támadók a fertőzött gépekről való adatfogadásra használták, ugyancsak megkapja ezeket az adatcsomagokat, de szinte sosem veszi észre ezeket. Ez azért van, mert a Turla támadói utasítják a fertőzött gépeket, hogy olyan portokra küldjék az adatokat, amelyek az esetek többségében alapértelmezés szerint le vannak zárva. Így a számítógép egyszerűen eldobja ezeket a csomagokat, míg a Turla C&C szervere, amely nyitva tartja ezeket a portokat, fogadja és feldolgozza a beérkező adatokat.

Egy másik érdekessége a Turla taktikájának, hogy közel-keleti és afrikai országok műholdas szolgáltatóit használja. A vizsgálatok során a Kaspersky Lab szakértői észrevették, hogy a Turla csoport által használ IP címek többek között olyan országokban találhatók, mint Kongó, Libanon, Líbia, Niger, Nigéria, Szomália és az Egyesült Arab Emírségek.

Az ezen országok operátorai által használt rádióhullámok általában nem foghatók Európában és az észak-amerikai területeken, nehézzé téve így a legtöbb biztonsági kutatónak, hogy kivizsgálja ezeket a támadásokat.

“A múltban legalább három különböző támadót láttunk, amely műholdas alapú internetes linkeket használt működése leplezésére. Ezek közül a Turla által kidolgozott megoldás a legérdekesebb és a legszokatlanabb. Képesek elérni a legmagasabb szintű anonimitást, kihasználva egy széles körben alkalmazott technológiát – az egyirányú műholdas internetet. A támadók bárhol lehetnek a kiválasztott műholdas tartományban, amelynek mérete meghaladhatja akár a több ezer négyzetkilométert is,” mondta Stefan Tanase, a Kaspersky Lab vezető biztonsági kutatója. “ Ez szinte lehetetlenné teszi a támadó kézre kerítését. Mivel ezek a módszerek egyre népszerűbbé válnak, fontos, hogy a rendszergazdák foganatosítsák a megfelelő védelmi óvintézkedéseket  ezen támadások elhárítására.”

A Kaspersky Lab termékei sikeresen azonosítják és blokkolják a Turla által használt malware-eket, amelyek a következő neveket kapták: Backdoor.Win32.Turla.*, Rootkit.Win32.Turla.*, HEUR:Trojan.Win32.Epiccosplay.gen, HEUR:Trojan.Win32.Generic.

Megosztás
Exit mobile version