卡巴斯基實(shí)驗(yàn)室在調(diào)查臭名昭著的俄語網(wǎng)絡(luò)間諜組織Turla時(shí),發(fā)現(xiàn)該組織利用全球衛(wèi)星網(wǎng)絡(luò)中的安全漏洞實(shí)現(xiàn)匿名性,隱藏其攻擊行為和地理位置不被發(fā)現(xiàn)。Turla是一個(gè)復(fù)雜的網(wǎng)絡(luò)間諜組織,其活躍時(shí)間已經(jīng)超過八年。Turla幕后的攻擊者在全球超過45個(gè)國家感染了數(shù)以萬計(jì)的計(jì)算機(jī),其中包括哈薩克斯坦、俄羅斯、中國、越南和美國。目前,卡巴斯基實(shí)驗(yàn)室的個(gè)人與企業(yè)版產(chǎn)品均能成功檢測(cè)和攔截Turla攻擊組織所使用的惡意軟件,并已將其檢測(cè)為:Backdoor.Win32.Turla.*、Rootkit.Win32.Turla.*、HEUR:Trojan.Win32.Epiccosplay.gen和HEUR:Trojan.Win32.Generic。
據(jù)了解,受Turla網(wǎng)絡(luò)間諜組織影響的組織類型包括政府機(jī)構(gòu)和大使館以及軍事、教育、研究和制藥公司等。在攻擊初始階段,Epic后門程序會(huì)對(duì)受害者進(jìn)行分析。只有針對(duì)最為重要的目標(biāo),攻擊者才會(huì)使用基于衛(wèi)星的通訊機(jī)制用于進(jìn)行后期攻擊,這種通訊方式有助于他們隱藏自身蹤跡。
衛(wèi)星通信主要被用作電視廣播以及安全通訊,但是,其同樣可用于提供互聯(lián)網(wǎng)訪問。這種服務(wù)主要用于偏遠(yuǎn)地區(qū),因?yàn)檫@些地區(qū)的互聯(lián)網(wǎng)接入不穩(wěn)定、較慢或根本沒有相關(guān)服務(wù)。其中,使用最為廣泛,費(fèi)用最為低廉的基于衛(wèi)星的互聯(lián)網(wǎng)接入服務(wù)是一種被稱為下行連接。
在這種情況下,來自用戶計(jì)算機(jī)的出站請(qǐng)求通過傳統(tǒng)線路(有限連接或GPRS連接)進(jìn)行通訊,而入站通訊則來自衛(wèi)星。這種技術(shù)能夠讓用戶獲得相對(duì)較快的下載速度。但是,它有一個(gè)很大的缺點(diǎn):所有返回到計(jì)算機(jī)的下行通訊是未加密的。惡意用戶可以使用并不昂貴的設(shè)備和軟件,輕松攔截用戶通訊,訪問到用戶下載的所有鏈接和數(shù)據(jù)信息。
Turla網(wǎng)絡(luò)間諜組織的不同之處在于其利用了該技術(shù)中的漏洞:他們使用這種技術(shù),隱藏其命令和控制服務(wù)器(C&C)的位置,而命令和控制服務(wù)器是惡意基礎(chǔ)設(shè)施最重要的一個(gè)部分之一。命令和控制服務(wù)器是部署在被攻擊計(jì)算機(jī)上的惡意軟件的“大本營”。如果找到這些服務(wù)器的位置,就能夠揭開攻擊行動(dòng)幕后的攻擊組織詳情。Turla網(wǎng)絡(luò)間諜組織采用以下手段避免這種風(fēng)險(xiǎn):
1. 間諜組織首先“監(jiān)聽”來自衛(wèi)星的下行流量,確認(rèn)當(dāng)時(shí)正在線使用基于衛(wèi)星的互聯(lián)網(wǎng)服務(wù)用戶的活躍IP地址。
2. 他們會(huì)選擇一個(gè)在線IP地址,用來掩蓋命令和控制服務(wù)器,而合法用戶根本不會(huì)察覺。
3. 受Turla感染的計(jì)算機(jī)會(huì)收到指令,將竊取到的數(shù)據(jù)發(fā)送到使用基于衛(wèi)星的互聯(lián)網(wǎng)用戶的IP地址。數(shù)據(jù)通過傳統(tǒng)線路發(fā)送到衛(wèi)星互聯(lián)網(wǎng)服務(wù)商的遠(yuǎn)程端口,之后被發(fā)送到衛(wèi)星,最后從衛(wèi)星發(fā)送到被選定的用戶IP地址。
有趣的是,攻擊者使用合法用戶的IP地址接收來自受感染計(jì)算機(jī)的數(shù)據(jù),這些合法用戶同樣會(huì)受到這些數(shù)據(jù)包,但很少會(huì)注意到這些數(shù)據(jù)包。這是因?yàn)門urla攻擊者控制受感染計(jì)算機(jī)將數(shù)據(jù)發(fā)送到那些通常默認(rèn)關(guān)閉的端口,所以合法用戶的計(jì)算機(jī)會(huì)丟棄這些數(shù)據(jù)包。而Turla命令和控制服務(wù)器則開放這些端口,能夠收到和處理這些竊取到的數(shù)據(jù)。
Turla攻擊者所采取的策略還有一個(gè)特別之處,即他們會(huì)優(yōu)先使用位于中東和非洲國家的衛(wèi)星互聯(lián)網(wǎng)連接服務(wù)商。根據(jù)研究,卡巴斯基實(shí)驗(yàn)室專家發(fā)現(xiàn)Turla組織使用了位于剛果、黎巴嫩、利比亞、尼日爾、尼日利亞、索馬里以及阿聯(lián)酋等國家的衛(wèi)星服務(wù)提供商的IP。
這些國家的衛(wèi)星互聯(lián)網(wǎng)服務(wù)提供商所使用的衛(wèi)星波束通常不會(huì)覆蓋歐洲和北美區(qū)域,這使得大多數(shù)安全研究人員很難對(duì)這些攻擊進(jìn)行調(diào)查。
在談及這一重大發(fā)現(xiàn)時(shí),卡巴斯基實(shí)驗(yàn)室資深安全研究員Stefan Tanase表示:“過去,我們至少發(fā)現(xiàn)有三個(gè)不同的攻擊組織會(huì)使用基于衛(wèi)星的互聯(lián)網(wǎng)連接隱藏自身的攻擊行動(dòng)。其中,Turla網(wǎng)絡(luò)間諜組織所開發(fā)的手段最為有趣和非比尋常。通過利用這種應(yīng)用廣泛的單向衛(wèi)星互聯(lián)網(wǎng)技術(shù),他們可以實(shí)現(xiàn)高度匿名性。攻擊者可以在選定衛(wèi)星的覆蓋范圍內(nèi)任何地方,這一面積可超過數(shù)千平方千米。這使得追蹤攻擊者幾乎不可能。隨著這種手段的使用變得更為普及,要求系統(tǒng)管理員需要部署正確的防御策略,抵御這種攻擊,這一點(diǎn)非常重要。”
京公網(wǎng)安備 11010502049343號(hào)