Turla: Διανέμουν malware μέσω δορυφόρων για να μην εντοπίζονται [Videos]

 http://freshsnews.blogspot.com/2015/09/10-turla-malware-videos.html
Κατά τη διάρκεια έρευνας σχετικά με τον διαβόητο φορέα ψηφιακής κατασκοπείας Turla, οι ερευνητές της Kaspersky Lab ανακάλυψαν τον τρόπο με τον οποίο αποφεύγει τον εντοπισμό των δραστηριοτήτων και της φυσικής τοποθεσίας του. Για να εξασφαλίσει την ανωνυμία της, η συγκεκριμένη ομάδα χρησιμοποιεί τα τρωτά σημεία ασφάλειας σε παγκόσμια δορυφορικά δίκτυα.
Η Turla είναι μία εξελιγμένη ομάδα ψηφιακής κατασκοπείας που είναι ενεργή πάνω από 8 χρόνια. Οι επιτιθέμενοι πίσω από την ομάδα Turla έχουν «μολύνει» εκατοντάδες υπολογιστές σε περισσότερες από 45 χώρες, ανάμεσα στις οποίες και το Καζακστάν, η Ρωσία, η Κίνα, το Βιετνάμ και οι Ηνωμένες Πολιτείες. Στους οργανισμούς που έχουν πληγεί περιλαμβάνονται κυβερνητικά όργανα και πρεσβείες, στρατιωτικοί οργανισμοί, ακαδημαϊκά και ερευνητικά ιδρύματα και φαρμακευτικές εταιρείες. Στο αρχικό στάδιο, το backdoor Epic προχωρά στην ανάπτυξη του προφίλ των θυμάτων. Εν συνεχεία – και μόνο για τους πιο υψηλού επιπέδου στόχους – οι επιτιθέμενοι χρησιμοποιούν σε μεταγενέστερα στάδια της επίθεσης έναν εκτεταμένο μηχανισμό επικοινωνίας βασισμένο σε δορυφόρο, ο οποίος τους βοηθά να καλύψουν τα ίχνη τους.
Οι επικοινωνίες μέσω δορυφόρου είναι γνωστές κυρίως ως εργαλείο για την εκπομπή τηλεοπτικού σήματος και για ασφαλείς επικοινωνίες. Ωστόσο, χρησιμοποιούνται επίσης για να παρέχουν πρόσβαση στο Διαδίκτυο. Οι υπηρεσίες αυτές χρησιμοποιούνται κυρίως σε απομακρυσμένες περιοχές, όπου όλα τα άλλα είδη πρόσβασης στο Διαδίκτυο είτε είναι ασταθή και αργά ή δεν είναι διαθέσιμα σε όλους. Ένα από τα πιο διαδεδομένα και φθηνά είδη δορυφορικών συνδέσεων στο Διαδίκτυο είναι η λεγόμενη μονόδρομη δορυφορική σύνδεση, η οποία επιτρέπει μόνο downloading.
Kaspersky-Lab_Turla_Map-of-Satellites
Σε αυτήν την περίπτωση, τα εξερχόμενα αιτήματα από τον υπολογιστή ενός χρήστη κοινοποιούνται μέσω συμβατικών γραμμών (ενσύρματη ή GPRS σύνδεση), με όλη την εισερχόμενη κίνηση να προέρχεται από το δορυφόρο. Η τεχνολογία αυτή επιτρέπει στο χρήστη να έχει μια σχετικά γρήγορη ταχύτητα λήψης. Ωστόσο, διαθέτει ένα μεγάλο μειονέκτημα: το σύνολο της downstream κίνησης επιστρέφει στον υπολογιστή χωρίς κρυπτογράφηση. Κάθε αδίστακτος χρήστης που έχει στην κατοχή κατάλληλο και σχετικά φθηνό εξοπλισμό και λογισμικό θα μπορούσε απλά να παρακολουθήσει την κίνηση και να αποκτήσει πρόσβαση σε όλα τα δεδομένα που «κατεβάζουν» οι χρήστες των συνδέσεων αυτών.
Η ομάδα Turla εκμεταλλεύεται αυτή την αδυναμία με έναν διαφορετικό τρόπο, χρησιμοποιώντας τη για να αποκρύψει τη θέση των Command & Control (C&C) server της, που είναι από τα πιο σημαντικά μέρη της κακόβουλης υποδομής. Ο C&C server αποτελεί ουσιαστικά την «έδρα» του κακόβουλου λογισμικού που λειτουργεί στις στοχευμένες μηχανές. Η ανακάλυψη της θέσης ενός τέτοιου server μπορεί να οδηγήσει τους ερευνητές να ανακαλύψουν λεπτομέρειες για τον φορέα πίσω από μια επιχείρηση.
Παρακάτω ακολουθεί ο τρόπος που η ομάδα Turla αποφεύγει τους κινδύνους αυτούς:
  • Η ομάδα πρώτα «ακούει» το «κατέβασμα» των δεδομένων από το δορυφόρο, ώστε να εντοπίσει ενεργές διευθύνσεις IP χρηστών Δορυφορικού Διαδικτύου που βρίσκονται online τη δεδομένη στιγμή.
  • Στη συνέχεια, επιλέγει μια διεύθυνση IP που θα χρησιμοποιηθεί για να καλύψει έναν C&C server, χωρίς ο νόμιμος χρήστης να έχει γνώση γι’ αυτό.
  • Τα μηχανήματα που έχουν «μολυνθεί» από τον φορέα Turla δέχονται τότε εντολή να μεταφέρουν τα δεδομένα προς τις επιλεγμένες διευθύνσεις IP των χρηστών Δορυφορικού Διαδικτύου. Τα δεδομένα ταξιδεύουν μέσα από συμβατικές γραμμές στις τηλεμεταφορές του παρόχου Δορυφορικού Διαδικτύου, φτάνουν μέχρι το δορυφόρο και, τέλος, από το δορυφόρο φτάνουν στους χρήστες με τις επιλεγμένες διευθύνσεις IP.
Είναι ενδιαφέρον το γεγονός ότι ο νόμιμος χρήστης του οποίου η διεύθυνση IP έχει χρησιμοποιηθεί από τους επιτιθέμενους για να λάβει δεδομένα από ένα «μολυσμένο» μηχάνημα, θα λάβει επίσης αυτά τα πακέτα δεδομένων, αλλά μόλις και μετά βίας θα τα παρατηρήσει. Αυτό συμβαίνει επειδή οι επιτιθέμενοι του Turla αναθέτουν σε «μολυσμένα» μηχανήματα την αποστολή δεδομένων σε θύρες που, στην πλειονότητα των περιπτώσεων, είναι κλειστές από προεπιλογή. Έτσι, ο υπολογιστής του νόμιμου χρήστη απλά θα απορρίψει αυτά τα πακέτα, ενώ ο C&C server του Turla, ο οποίος διατηρεί αυτές τις θύρες ανοιχτές, θα λαμβάνει και επεξεργάζεται τα «κλεμμένα» δεδομένα.
Kaspersky-Lab_Turla_Map-of-Targets
Ακόμα ένα ενδιαφέρον στοιχείο για τις τακτικές του φορέα Turla είναι ότι τείνει να χρησιμοποιεί παρόχους σύνδεσης Δορυφορικού Διαδικτύου με έδρα τη Μέση Ανατολή και την Αφρική. Στην έρευνά τους, οι ειδικοί της Kaspersky Lab έχουν εντοπίσει την ομάδα Turla χρησιμοποιώντας διευθύνσεις IP παρόχων που βρίσκονταν σε χώρες όπως το Κονγκό, ο Λίβανος, η Λιβύη, ο Νίγηρας, η Νιγηρία, η Σομαλία ή τα Ηνωμένα Αραβικά Εμιράτα.
Οι δορυφορικές ακτίνες που χρησιμοποιούνται από τους παρόχους σε αυτές τις χώρες συνήθως δεν καλύπτουν περιοχές της Ευρώπης και της Βόρειας Αμερικής, γεγονός που καθιστά πολύ δύσκολη τη διερεύνηση τέτοιου είδους επιθέσεων για τους περισσότερους από τους ερευνητές ασφάλειας.
Σύμφωνα με τον Stefan Tanase, Senior Security Researcher της Kaspersky Lab,
“Στο παρελθόν, έχουμε συναντήσει τουλάχιστον τρεις διαφορετικούς φορείς που χρησιμοποιούν δορυφορικές συνδέσεις για να καλύψουν τις δραστηριότητές τους. Από αυτούς, η λύση που αναπτύχθηκε από την ομάδα Turla είναι η πιο ενδιαφέρουσα και ασυνήθιστη. Είναι σε θέση να φτάσει στο απόλυτο επίπεδο ανωνυμίας, αξιοποιώντας μια ευρέως χρησιμοποιούμενη τεχνολογία, το μονόδρομο δορυφορικό Internet. Οι επιτιθέμενοι μπορούν να βρίσκονται οπουδήποτε εντός της εμβέλειας του επιλεγμένου δορυφόρου τους, δηλαδή εντός μιας περιοχής που μπορεί να καλύπτει χιλιάδες τετραγωνικά χιλιόμετραΑυτό καθιστά σχεδόν αδύνατο τον εντοπισμό του εισβολέα. Δεδομένου ότι η χρήση των μεθόδων αυτών γίνεται όλο και πιο δημοφιλής, είναι σημαντικό για τους διαχειριστές των συστημάτων να αναπτύξουν ορθές στρατηγικές άμυνας, προκειμένου να μετριαστούν οι επιθέσεις”
Για περισσότερες πληροφορίες σχετικά με τους μηχανισμούς κατάχρησης των δορυφορικών συνδέσεων που χρησιμοποιούνται από την ομάδα ψηφιακής κατασκοπείας Turla, αλλά και για να δείτε τους Δείκτες Συμβιβασμού μπορείτε να επισκεφτείτε το ιστότοπο Securelist.com.


Related Posts Plugin for WordPress, Blogger...

Printfriendly

Συνολικές προβολές σελίδας

 

Στηρίξτε την προσπάθεια μας!

H Fresh News είναι μια μή κερδοσκοπική σελίδα και παρέχει δωρεάν υπηρεσίες ψυχαγωγίας και ενημέρωσης στα μέλη αλλά και στούς επισκέπτες του. Τα έξοδα συντήρησης καλύπτονται απο χορηγίες - δωρεές των μελών. Η οποιαδήποτε εισφορά έχει αποκλειστικά υποστηρικτικό και συμβολικό χαρακτήρα και δεν συνεπάγεται με κανέναν τρόπο απόκτηση ή διεκδίκηση ξεχωριστών προνομίων. Οι Εισφορές μπορούν να γίνονται μία ή περισσότερες φορές σε χρονικά διαστήματα. Το Online σύστημα που έχει επιλεγεί είναι το PAYPAL το οποίο θεωρείται το πιό ασφαλές και αξιόπιστο σύστημα online συναλλαγών παγκοσμίως.

Σου αρέσει το Blog ?Βάλε το e-mail σου να σου στέλνουμε κάθε μερα

Fresh News Achive

Find Us On Facebook

Link to us

Αν σας αρέσει αυτό το blog , βαλτετο στο site σας.



Προαιρετικά χρησιμοποιήσετε αυτό το πρόγραμμα εγκατάστασης Widget για να προσθέσετε αυτό το σύνδεσμο στο Blogger blog σας.

Blogger templates

Powered By | blogger widgets

Translate...

Fresh News
Webutation

About

Ετικέτες

ΑΓΓΛΙΑ Αγιος Βαλεντίνος αγρότες αθλητικό μάρκετινγκ Αθλητισμος Αμερικη Αμφίπολη ΑΝΕΞΉΓΗΤΑ ΦΑΙΝΌΜΕΝΑ Αξίες απεργίες Αποκαλυψεις αποκριες Αρχαια Ελλαδα-Ancient Hellas Αστεια αστυνομια Αυτοκίνητο Βαρουφάκης Γερμανια ΓΥΝΑΙΚΑ Δημοψήφισμα Διακοπες Διακόσμηση Διάστημα Διατροφη ΔΙΕΘΝΗ ΔΙΕΘΝΗ ΠΟΛΙΤΙΚΗ Δικαιοσύνη ΔΝΤ εγκλημα ΕΓΚΥΜΟΣΥΝΗ ΕΘΝΙΚΑ ΘΕΜΑΤΑ Ειδήσεις εκδηλωση Εκκλησια ΕΚΛΟΓΕΣ Εκλογές 2012 Εκλογές 2013 Εκλογες 2015 Εκπαιδευση Έκτακτα Ελλαδα ΕΛΛΗΝΙΚΗ ΒΙΟΜΗΧΑΝΙΑ Ενδιαφέροντα ΕΝΦΙΑ εξελιξη Επιστημες ΕΠΙΣΤΗΜΗ Εργασία ΕΡΤ Ευρ.Ενωση ΕΥΧΑΙΤΗΡΙΟΥΣ ΧΑΙΡΕΤΙΣΜΟΥΣ Ζώα Ζώδια Ζωή Κωνσταντοπούλου Ηθη κ Εθιμα ΙΣΤΟΡΙΚΑ Ιστοριούλες Καθαρά Δευτέρα ΚΑΙΡΟΣ καλοκαιρι καρναβάλι Κίνα Κοινωνια Κορέα Κόσμος ΚΡΙΣΗ-ΑΝΕΡΓΙΑ Κυνηγι Κύπρος Λαφαζάνης ΛΟΝΔΙΝΟ 2012 Μακεδονία Μέσα Μαζικής Μεταφοράς Μεταναστευτικο μνημονίο ΜΟΔΑ Μουντιαλ 2014 ΜΟΥΣΙΚΗ Μπαλτακος ΝΔ ΝΔ-ΜΕΙΜΑΡΑΚΗΣ νεα ΝΕΑ ΤΑΞΗ ΠΡΑΓΜΑΤΩΝ Νομοθεσια Ντόναλντ Τραμπ Οικολογία Οικονομία Ολυμπιακή Φλόγα Ομορφιά Ομπάμα Ονειρα ότι να 'ναι ΠΑΙΔΙ Παραξενα Παρέλαση Παρισι πασοκ Πασχα Περιβαλλον περιεργα πετρελαιοκηλίδα ΠΟΛΙΤΙΚΕΣ ΕΦΗΜΕΡΙΔΕΣ Πολιτικη Πολιτισμος Ποταμι Πρέσπες Πρωτομαγιά Πρωτοχρονιάς ΡΑΝΤΕΒΟΥ Ρωσια ΣΕΙΡΗΝΕΣ σεισμός Σινεμα στρατος συλλαλητήριο Συνταγές ΣΥΝΤΑΓΜΑ Συριζα Σχεσεις Σώρρας Ταϊβάν Ταινιες Ταξιδι Τατσόπουλος τεστ Τεχνες Τεχνολογία Τζορτζ Μάικλ Τηλεοπτικές άδειες Τοπικα Τουρισμός Τουρκια τροικα Τρομοκρατία Τσιπρας Υγεια Υπολογιστες Φθινοπωρο Φύση ΦΩΤΙΕΣ χιονια Χορός ΧΡΗΣΙΜΑ Χριστούγεννα Χρυσής Αυγή ψαρεμα Ψυχολογία Ψωνίζουμε Ελληνικά Aνάπτυξη ACTA ANONYMOYS Brexit Celebrities EKTATO epic fail Euro 2012 Eurovision Facebook Gaming GOOD NEWS Grexit Hollywood Internet ISIS Lifestyle Media nerit.gr Norman Atlantic Sandy Sex Showbiz sok Survey SURVIVOR Twitter viral X-Files