Эксперты «Лаборатории Касперского» выяснили, что группировка, стоящая за сложной и масштабной кампанией кибершпионажа Turla, использует уязвимость в глобальных спутниковых сетях для скрытия физического местоположения серверов управления зараженными ПК, говорится на сайте антивирусной лаборатории.
Нынешние возможности и цели кибергруппировки свидетельствуют о том, что за ней стоят не обычные злоумышленники
«Односторонний» спутниковый интернет обычно используется в географически удаленных населенных пунктах, где другие виды подключения к Сети либо отсутствуют, либо очень дороги и медленны. При использовании одностороннего соединения пользователь отправляет свой запрос через наземный канал (кабель или GPRS), а ответ ему приходит через спутник. Интернет-контент в этом случае грузится сравнительно быстро, но вот только передается он в незашифрованном виде. А это значит, что любой, имея недорогое оборудование и ПО, может легко перехватить трафик и получить доступ ко всем данным, которые загружает пользователь», – пояснили там.
Именно этой «лазейкой» и воспользовалась кибергруппировка Turla для того, чтобы скрыть местоположение серверов, с помощью которых она управляет атаками и где хранит собранные данные. Технически этот процесс выглядит так: сначала атакующие «слушают» трафик, исходящий от спутника, чтобы определить, какие пользователи (точнее IP-адреса) в настоящее время находятся онлайн. Потом они выбирают тот IP-адрес, который будут использовать для маскировки своего сервера, а после этого направляют зараженным Turla компьютерам команды на отправку данных на выбранный IP-адрес. Данные при этом проходят через традиционные каналы к оператору спутникового интернета, а затем через спутник попадают к ничего не подозревающему пользователю.
Сам пользователь вряд ли заметит, что помимо запрашиваемого контента он получил что-то еще. Обычно организаторы Turla «инструктируют» зараженные компьютеры отправлять данные в те порты, которые по умолчанию закрыты. Откроет их тот самый командно-контрольный сервер, и пакеты с данными, таким образом, перейдут на него.
Как выяснила «Лаборатория Касперского», кибергруппировка использует в основном провайдеров, работающих на Ближнем Востоке и в Африке. Так, эксперты компании установили, что атакующие отправляли данные на IP-адреса из Афганистана, Ливана, Конго, Ливии, Нигера, Нигерии, Сомали и Замбии. Спутники, работающие в этом регионе, чаще всего не покрывают страны Европы и Северной Америки, что делает расследование этих атак для экспертов по безопасности невозможным.
«Нам уже встречались по меньшей мере три разные кибергруппировки, которые также использовали спутниковый интернет для маскировки своих операций. Однако вариант, который выбрала Turla, является наиболее интересным и необычным. С помощью своей тактики они добились максимального уровня анонимности, используя в общем-то широко распространенные технологии. Атакующие могут быть где угодно, поскольку территория, покрываемая спутником, может превышать тысячи квадратных километров. Так что отследить их практически невозможно», – рассказал в своем блоге на SecureList старший антивирусный эксперт лаборатории Стефан Танасе.
За этими операциями Turla, предположительно, стоят русскоязычные организаторы. К настоящему моменту от этой кампании пострадали сотни пользователей в более чем 45 странах, в частности, правительственные и дипломатические учреждения, военные, образовательные, исследовательские организации, а также фармацевтические фирмы. Среди лидеров по наибольшему числу атак такие страны, как Казахстан, Россия, США, Китай и Вьетнам. Но особенно активно группировка работает в направлении дипломатических и военных ведомств в США и Европе.
Хакеры также используют для своей группы название «Уроборос» (тоже позаимствованное у вредоносной программы). Они стали первыми, кто использовал вредоносное ПО для захвата спутника: до сих пор никто не фиксировал ни одного подобного факта. По оценкам экспертов, на преодоление такого уровня атак спутниковым операторам понадобится несколько лет.
«Кибергруппа, стоящая за Turla, была известна сообществу индустрии информационной безопасности еще до публикации о данном инциденте, – рассказал газете ВЗГЛЯД ведущий вирусный аналитик ESET Russia Артем Баранов. – Возможности, которые группировка демонстрировала ранее, можно было назвать весьма незаурядными. Нынешние возможности и цели кибергруппировки свидетельствуют о том, что за ней стоят не обычные злоумышленники. Многие антивирусные компании, которые исследовали активность группы, пришли к выводу о том, что это так называемые state-sponsored атаки, поддерживаемые государством, то есть кибероружие. Новое исследование активности Turla подтверждает предыдущие исследования и предположения – для компрометации связи спутников необходима серьезная инфраструктура».
По словам Баранова, возможность перехватить управление спутником демонстрировалась и ранее, но относилась, скорее, к категории академических исследований. «Вряд ли кто-то ожидал встретить эти технологии в реальных кибератаках. Тем не менее опубликованное исследование показало, что такое возможно и уже используется злоумышленниками. Вопрос в том, насколько успешны такие атаки, оправдывают ли расходы на инфраструктуру те данные, которые кибергруппа планировала украсть. Очевидно, что они ориентировались не на простых пользователей», – сказал эксперт.
«Наверняка в ПО, которое функционирует в спутниках связи, можно найти уязвимости для несанкционированного доступа к оборудованию. Но в данной атаке все проще, она осуществлялась по схеме типа Man-in-the-Middle – атакующим не нужен прямой доступ к оборудованию спутника, им достаточно доступа к тем маршрутам или каналам передачи трафика, который спутником используется. К тому же, задачи кибергруппы в данной кампании ограничивались маскировкой управляющих С&С-серверов, чтобы их сложно было обнаружить или демонтировать. Такая операция часто используется для выведения из строя управляющих серверов вредоносных программ, по которым они взаимодействуют с операторами атаки», – добавил он, отметив, что проведенная кибератака не была нацелена на компрометацию оборудования какого-либо спутника и не преследовала цели взлома спутников, а только перенаправление трафика, которым они оперируют.
«Противостояние в области кибербезопасности всегда осуществляется по принципу соревнования «броня-снаряд»: происходит поиск той или иной программно-технической уязвимости, исследуется возможность ее использования в тех или иных интересах, а дальше, соответственно, защитными мерами уязвимость закрывается. Происходит исследование проблем, по аналогии могут быть приняты еще какие-то меры и так далее. Этот процесс продолжается с момента регистрации первых вредоносных действий с использованием вычислительной техники», – прокомментировал ситуацию газете ВЗГЛЯД руководитель Центра безопасного интернета в России Урван Парфентьев.
Напомним, что компьютеры американских властей уже не раз подвергались хакерским атакам. США постоянно обвиняют в этом Китай, а также Россию. Так, 15 августа The New York Times со ссылкой на источники в американской администрации сообщила о проверке ФБР, которое заподозрило, что Россия и Китай осуществляли кибератаки с целью похитить информацию из личной почты Клинтон в период с 2009 по 2013 год, когда она возглавляла внешнеполитическое ведомство США. «Эти угрозы (кибербезопасности США) исходят от широкого круга субъектов, среди которых, во-первых, государства с продвинутыми киберсистемами, как, например, Россия или Китай», – сказал директор национальной разведки США Джеймс Клэппер в ходе выступления на слушаниях в комитете Палаты представителей Конгресса США по разведке, передает ТАСС.
Спецслужбы России, в свою очередь, не меньше обеспокоены вопросом информационной безопасности. Секретарь Совбеза Николай Патрушев в конце августа заявил, что чиновники, использующие в работе такие иностранные сервисы, как Google, Yahoo, WhatsApp, подвергают опасности информацию, с которой работают. По его мнению, угроза защищенности государственных и муниципальных информационных систем исходит от чиновников в российской провинции, не осознающих опасность пользования иностранными интернет-сервисами.
Впрочем, далеко не всегда обвинения в адрес россиян кажутся обоснованными, иногда это инструмент большой политики. Например, в марте этого года в британских СМИ были опубликованы выдержки из доклада одной из спецслужб ЮАР, в котором со слов «агента в Москве» правительство Южной Африки обвиняется в создании преференций для России. Этот искусственный шпионский скандал был призван рассорить Россию и ЮАР.