Как выяснили специалисты «Лаборатории Касперского», хакерская группа Turla, которая несет ответственность за масштабную кампанию кибершпионажа, пользуется уязвимостью в глобальных спутниковых сетях, чтобы скрыть физическое местоположение серверов управления инфицированными компьютерами.
Асимметричным спутниковым Интернетом часто пользуются в географически удаленных населенных пунктах по причине того, что иные виды подключения к Сети там или слишком медленные и дорогие, или отсутствуют. Используя асимметричное спутниковое соединение, пользователь передает данные через доступные наземные каналы (кабель или GPRS), а прием осуществляется через спутник. В таком случае Интернет-контент загружается достаточно быстро, однако его передача производится в незашифрованном виде. Таким образом, любой человек, имеющий недорогое оборудование и соответствующее программное обеспечение, может с легкостью осуществить перехват трафика и заполучить доступ ко всей информации, загружаемой пользователем.
Подобным образом поступали и хакеры из группировки Turla, чтобы скрыть местоположение серверов, которые они использовали для управления атаками и хранения собранной информации. Злоумышленниками проводился мониторинг трафика, исходящего от спутника, с целью определить IP-адреса, находящиеся в данный момент онлайн. Далее ими выбирался IP-адрес, который впоследствии будет использован для сокрытия своего сервера. После этого компьютерам, зараженным Turla, направлялись команды для передачи данных на выбранный IP-адрес. Информация передавалась через наземные каналы к оператору спутникового Интернета, а потом через спутник попадала к ничего не подозревающему пользователю.
Пользователь скорее всего и не замети, что он получил что-то кроме запрашиваемого им контента. Чаще всего хакеры дают инфицированным компьютерам команду отправлять данные в закрытые по умолчанию порты компьютера. Эти порты будут открыты командно-контрольным сервером, и, таким образом, пакеты с данными будут переданы ему.
Эксперты из «Лаборатории Касперского» выяснили, хакеры из Turla обычно пользуются услугами провайдеров, которые работают в Африке и на Ближнем Востоке. Специалистами было установлено, что отправка данных производилась на IP-адреса из Афганистана, Замбии, Ливана, Ливии, Конго, Нигера, Нигерии и Сомали. Спутники, которые работают в данном регионе, обычно не покрывают территорию Европы и Северной Америки, что делает невозможным расследование этих атак экспертами по информационным безопасности, находящимися вне региона.
Как сообщил старший антивирусный эксперт «Лаборатории Касперского» Стефан Танасе, специалисты уже сталкивались по крайней мере с тремя разными кибергруппировками, также использовавшими спутниковый Интернет для сокрытия своей деятельности. Но способ, выбранный Turla, наиболее интересен и необычен. Эта тактика, подразумевающая применение широко распространенных технологий, позволила хакерам добиться максимального уровня анонимности. Отследить злоумышленников невозможно, так как зона покрытия спутника может превышать тысячи квадратных километров.
В состав группировки Turla, вероятно, входят русскоязычные хакеры. На данный момент от данной киберкампании пострадали сотни пользователей в более чем 45 странах, в том числе правительственные учреждения, военные, образовательные, исследовательские организации, а также фармацевтические компании. В лидерах по наибольшему количеству кибератак, в последнее время зафиксированных «Лабораторией Касперского», находятся Казахстан, Россия, США, Китай и Вьетнам.