Русскоязычные кибершпионы используют спутники

Исследователи “Лаборатории Касперского” обнаружили, что русскоязычная группировка Turla использует спутники для того, чтобы скрывать свои командные сервера.

Русскоязычные кибер-шпионы из группировки Turla используют спутники, чтобы скрыть C&C сервера

Turla, также известная под названиями Snake и Uroboros, — это одна из самых продвинутых кибершпионских группировок в мире. Она действует уже более 8 лет, но до прошлого года, когда мы опубликовали наше исследование Epic Turla, о ее операциях было известно не так много.

Русскоязычные кибер-шпионы из группировки Turla используют спутники, чтобы скрыть C&C сервера

В частности, это исследование содержало примеры языковых артефактов, позволивших установить, что как минимум часть членов группировки говорит на русском языке. Например, эти люди используют кодировку Windows-1251, которая, как правило, служит для отображения кириллицы, а также слова вроде «Zagruzchik».

Что делает группировку Turla особенно опасной и трудноуловимой, это не только сложные программные инструменты, но и сложный механизм маскировки командных серверов (command-and-control, C&C), основанный на использовании спутников.

Командные сервера — это основа любой продвинутой кибератаки. В то же время это ее самое уязвимое место, в которое всегда целятся исследователи и правоохранительные органы.

На это есть две причины. Во-первых, командные сервера, как несложно догадаться из названия, используются для контроля всех операций. И если вам удастся вывести их из строя, это как минимум затруднит ход кампании, а то и вовсе ее разрушит. Во-вторых, командные сервера могут быть использованы органами, расследующими киберпреступление, для того чтобы отследить реальное местонахождение людей, стоящих за кампанией.

Поэтому киберпреступники всегда стараются спрятать C&C-сервера настолько глубоко, насколько они могут. И группировка Turla нашла весьма эффективный способ это сделать: они прячут сервера в небе.

Вот в чем дело: одним из самых распространенных и недорогих вариантов спутникового доступа в Интернет является одностороннее соединение. В этом случае исходящие данные от компьютера пользователя идут по обычным линиям — проводным или сотовым, а входящий трафик приходит со спутника.

Такой вариант обеспечивает неплохой баланс скорости и цены, но у него есть один немаловажный недостаток: данные со спутника идут на пользовательские компьютеры в незашифрованном виде. Попросту говоря, любой желающий может их перехватить. И Turla использует этот технологический изъян новым, весьма интересным способом: для того чтобы прятать в потоке данных со спутника трафик C&C-серверов.

Вот как именно они это делают:

  1. Поток данных со спутника прослушивается для того, чтобы обнаружить IP-адреса пользователей, активных в данный момент.
  2. После этого выбирается некоторое количество активных адресов, которые будут использоваться для маскировки командных серверов без ведома владельцев этих адресов.
  3. Зараженные Turla компьютеры получают приказ отправлять все данные на выбранные в пункте 2 адреса. Данные идут по обычным линиям, потом поступают на спутник и оттуда транслируются на землю.
  4. Компьютеры пользователей, чьи адреса используются Turla, получают эти данные, но игнорируют их как мусорные. А вот киберпреступники аккуратно выбирают их из общего потока со спутника и используют дальше в своих целях.

Поскольку зона покрытия каждого спутника весьма велика по площади, отследить, где именно находится приемник кибершпионов, попросту невозможно. Чтобы сделать эту игру в кошки-мышки еще сложнее, группировка Turla использует для своих целей провайдеров из стран Ближнего Востока и Африки, таких как Конго, Ливан, Ливия, Нигер, Нигерия, Сомали и ОАЭ.

Русскоязычные кибер-шпионы из группировки Turla используют спутники, чтобы скрыть C&C сервера

В зону покрытия этих спутников, как правило, не входят Европа и Северная Америка, поэтому большинству исследователей сложно изучать деятельность группировки.

Кибершпионы из Turla уже заразили сотни компьютеров пользователей более чем из 45 стран, включая Казахстан, Россию, Китай, Вьетнам и США. Группировку в основном интересуют правительственные организации и посольства, оборонные и образовательные учреждения, исследовательские институты, а также фармацевтические компании.

Русскоязычные кибер-шпионы из группировки Turla используют спутники, чтобы скрыть C&C сервера

Это были плохие новости. Хорошие новости для наших пользователей состоят в том, что продукты «Лаборатории Касперского» успешно обнаруживают и блокируют вредоносное программное обеспечение, которое использует Turla.

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.