國家支持的黑客組織在盜竊數(shù)據(jù)時，最怕的就是被人定位到命令控制服務(wù)器，被切斷與目標(biāo)機器的聯(lián)系。于是，這伙講俄語的間諜黑客組織–圖拉(Turla)，想到了一個絕妙的主意。

他們劫持合法用戶的通信衛(wèi)星IP地址，然后用來盜取數(shù)據(jù)，以隱藏他們的C2。卡巴斯基的研究人員發(fā)現(xiàn)，至少從2007年開始，圖拉就已經(jīng)使用這種隱蔽的技術(shù)了。

圖拉是一個高度復(fù)雜的網(wǎng)絡(luò)間諜組織，有可能背后為俄羅斯政府支持。十幾年來，進行著目標(biāo)為政府機構(gòu)、大使館和軍隊的網(wǎng)絡(luò)間諜活動。全世界四十多個國家，都是其活動目標(biāo)，包括哈薩克斯坦、中國、越南和美國，尤其是東、中歐國家。

圖拉使用各種方法和手段感染目標(biāo)系統(tǒng)并盜取數(shù)據(jù)，但最高端的莫屬于通過劫持衛(wèi)星鏈路來隱藏他們的命令控制服務(wù)器(C2)了。

起初，黑客通過多層代理來隱藏他們的服務(wù)器。但這種方法并不保險，還是有可能被追溯到服務(wù)器的提供方，然后被關(guān)閉并被做為司法證據(jù)。

“C2是網(wǎng)絡(luò)犯罪或網(wǎng)絡(luò)間諜活動成敗攸關(guān)的核心，因此隱藏服務(wù)器的物理地址對于他們來說非常的重要。”

衛(wèi)星鏈路互聯(lián)網(wǎng)提供商覆蓋的地理區(qū)域要比普通互聯(lián)網(wǎng)提供商大的多，可橫跨多個國家甚至是大洲，因此追蹤使用衛(wèi)星IP地址的計算機難度非常之大。

“實際上，這種技術(shù)讓找到并關(guān)閉他們的命令服務(wù)器變得不可能，”卡巴斯基安全研究人員塔納西認(rèn)為。“無論你使用多少層代理來隱藏服務(wù)器，調(diào)查人員只要持續(xù)追蹤下去，最終能找到真實的IP地址，這只是一個時間問題。但對于衛(wèi)星鏈路，幾乎是不可能的。”

劫持衛(wèi)星鏈路的原理

衛(wèi)星互聯(lián)網(wǎng)連接并不算新技術(shù)，已經(jīng)應(yīng)用了至少二十年，在一些偏遠(yuǎn)或沒有高速網(wǎng)絡(luò)連接的地區(qū)尤為普遍。

一種最為流行和成本最低的衛(wèi)星鏈路就是只限下行(downstream-only)，主要用于更快的下載速度，因為衛(wèi)星連接傾向于提供比其他連接方法更大的帶寬。從用戶計算機中出來的流量通過撥號或其他連接，從衛(wèi)星連接過來的流量直接進入用戶計算機。因為，衛(wèi)星通信沒有加密，黑客可以架設(shè)天線來劫持?jǐn)?shù)據(jù)。圖拉就是利用這一點，來劫持并使用合法衛(wèi)星鏈路用戶的IP地址。

衛(wèi)星系統(tǒng)的一些漏洞早在2009年和2010年的黑帽大會上就有所披露，但圖拉的黑客更早，他們從至少從2007年就開始使用這些漏洞來劫持衛(wèi)星鏈路了。卡巴斯基發(fā)現(xiàn)了圖拉在2007年編譯的惡意軟件，其中包含兩個硬編碼的IP地址，其中一個屬于德國的衛(wèi)星互聯(lián)網(wǎng)服務(wù)提供商。

要想使用被劫持的衛(wèi)星連接來盜取數(shù)據(jù)，攻擊者首先要用包含硬編碼域名(命令控制服務(wù)器)在內(nèi)的惡意軟件感染目標(biāo)計算機，但黑客并沒有使用靜態(tài)IP地址，而是使用了動態(tài)DNS主機，可允許他們?nèi)我飧淖僆P地址。

接下來，攻擊者使用天線來拾取衛(wèi)星信號流量，并收集合法衛(wèi)星用戶的IP地址。受感染計算機上的惡意軟件會聯(lián)系到合法衛(wèi)星用戶的IP地址上，并初始化TCPIP連接。但用戶的計算機會放棄這個連接，因為該次通信請求的目標(biāo)不是用戶計算機，而是攻擊者的命令控制服務(wù)器。這樣，攻擊者的服務(wù)器就使用了一個合法衛(wèi)星用戶的IP地址建立了一個流量通道，從目標(biāo)計算機即受感染的計算機上盜取數(shù)據(jù)。數(shù)據(jù)雖然會經(jīng)過合法衛(wèi)星用戶的系統(tǒng)，但系統(tǒng)會將其丟棄。

塔內(nèi)西表示，合法衛(wèi)星用戶并不會注意到他的衛(wèi)星鏈路被劫持，除非他去檢測日志，并且發(fā)現(xiàn)被衛(wèi)星調(diào)制解調(diào)器丟棄的數(shù)據(jù)包。“也許會發(fā)現(xiàn)意外的請求，但很可能被認(rèn)為是互聯(lián)網(wǎng)的信號噪聲，”而不是可疑流量。

但是，該方法并不能用于長期的盜取數(shù)據(jù)。因為，衛(wèi)星互聯(lián)網(wǎng)連接是單向的，非常不穩(wěn)定。而且，合法用戶隨時還可能下線而導(dǎo)致攻擊者使用的IP失效。塔納西表示，這種方法僅見于針對最高端的目標(biāo)，其要求攻擊者高度的匿名性，圖拉并不經(jīng)常使用。

研究人員還發(fā)現(xiàn)，雖然圖拉使用全世界的衛(wèi)星通信，但主要在集中在兩個特定的區(qū)域–中東和非洲，如剛果、尼日利亞、黎巴嫩、索馬里和阿聯(lián)酋。

劫持過程很容易，成本也很低。只需一個碟形衛(wèi)星天線，一些電纜和一臺衛(wèi)星調(diào)制解調(diào)器，總共花費約1000美元。

這并不是卡巴斯基首次發(fā)現(xiàn)黑客組織利用衛(wèi)星鏈路來維護他們的命令控制服務(wù)器，之前的Hacking Team銷售給執(zhí)法部門和情報機關(guān)的工具中，就包括了這種方法。而這種方法一旦被大量的網(wǎng)絡(luò)犯罪組織掌握并使用，對于執(zhí)法部門和安全研究人員來說，再想像以前那樣找到并關(guān)閉作惡者的服務(wù)器，無疑會變得非常困難。