俄罗斯间谍黑客组织图拉劫持通信卫星链路盗取数据

简介:

国家支持的黑客组织在盗窃数据时,最怕的就是被人定位到命令控制服务器,被切断与目标机器的联系。于是,这伙讲俄语的间谍黑客组织–图拉(Turla),想到了一个绝妙的主意。

他们劫持合法用户的通信卫星IP地址,然后用来盗取数据,以隐藏他们的C2。卡巴斯基的研究人员发现,至少从2007年开始,图拉就已经使用这种隐蔽的技术了。

图拉是一个高度复杂的网络间谍组织,有可能背后为俄罗斯政府支持。十几年来,进行着目标为政府机构、大使馆和军队的网络间谍活动。全世界四十多个国家,都是其活动目标,包括哈萨克斯坦、中国、越南和美国,尤其是东、中欧国家。

图拉使用各种方法和手段感染目标系统并盗取数据,但最高端的莫属于通过劫持卫星链路来隐藏他们的命令控制服务器(C2)了。

起初,黑客通过多层代理来隐藏他们的服务器。但这种方法并不保险,还是有可能被追溯到服务器的提供方,然后被关闭并被做为司法证据。

“C2是网络犯罪或网络间谍活动成败攸关的核心,因此隐藏服务器的物理地址对于他们来说非常的重要。”

卫星链路互联网提供商覆盖的地理区域要比普通互联网提供商大的多,可横跨多个国家甚至是大洲,因此追踪使用卫星IP地址的计算机难度非常之大。

“实际上,这种技术让找到并关闭他们的命令服务器变得不可能,”卡巴斯基安全研究人员塔纳西认为。“无论你使用多少层代理来隐藏服务器,调查人员只要持续追踪下去,最终能找到真实的IP地址,这只是一个时间问题。但对于卫星链路,几乎是不可能的。”

劫持卫星链路的原理

卫星互联网连接并不算新技术,已经应用了至少二十年,在一些偏远或没有高速网络连接的地区尤为普遍。

一种最为流行和成本最低的卫星链路就是只限下行(downstream-only),主要用于更快的下载速度,因为卫星连接倾向于提供比其他连接方法更大的带宽。从用户计算机中出来的流量通过拨号或其他连接,从卫星连接过来的流量直接进入用户计算机。因为,卫星通信没有加密,黑客可以架设天线来劫持数据。图拉就是利用这一点,来劫持并使用合法卫星链路用户的IP地址。

卫星系统的一些漏洞早在2009年和2010年的黑帽大会上就有所披露,但图拉的黑客更早,他们从至少从2007年就开始使用这些漏洞来劫持卫星链路了。卡巴斯基发现了图拉在2007年编译的恶意软件,其中包含两个硬编码的IP地址,其中一个属于德国的卫星互联网服务提供商。

要想使用被劫持的卫星连接来盗取数据,攻击者首先要用包含硬编码域名(命令控制服务器)在内的恶意软件感染目标计算机,但黑客并没有使用静态IP地址,而是使用了动态DNS主机,可允许他们任意改变IP地址。

接下来,攻击者使用天线来拾取卫星信号流量,并收集合法卫星用户的IP地址。受感染计算机上的恶意软件会联系到合法卫星用户的IP地址上,并初始化TCPIP连接。但用户的计算机会放弃这个连接,因为该次通信请求的目标不是用户计算机,而是攻击者的命令控制服务器。这样,攻击者的服务器就使用了一个合法卫星用户的IP地址建立了一个流量通道,从目标计算机即受感染的计算机上盗取数据。数据虽然会经过合法卫星用户的系统,但系统会将其丢弃。

塔内西表示,合法卫星用户并不会注意到他的卫星链路被劫持,除非他去检测日志,并且发现被卫星调制解调器丢弃的数据包。“也许会发现意外的请求,但很可能被认为是互联网的信号噪声,”而不是可疑流量。

但是,该方法并不能用于长期的盗取数据。因为,卫星互联网连接是单向的,非常不稳定。而且,合法用户随时还可能下线而导致攻击者使用的IP失效。塔纳西表示,这种方法仅见于针对最高端的目标,其要求攻击者高度的匿名性,图拉并不经常使用。

研究人员还发现,虽然图拉使用全世界的卫星通信,但主要在集中在两个特定的区域–中东和非洲,如刚果、尼日利亚、黎巴嫩、索马里和阿联酋。

劫持过程很容易,成本也很低。只需一个碟形卫星天线,一些电缆和一台卫星调制解调器,总共花费约1000美元。

这并不是卡巴斯基首次发现黑客组织利用卫星链路来维护他们的命令控制服务器,之前的Hacking Team销售给执法部门和情报机关的工具中,就包括了这种方法。而这种方法一旦被大量的网络犯罪组织掌握并使用,对于执法部门和安全研究人员来说,再想像以前那样找到并关闭作恶者的服务器,无疑会变得非常困难。


作者:Recco


来源:51CTO


相关文章
|
安全 数据安全/隐私保护 Windows
|
安全
“极品时刻表”被挂马 已有6万网民遭攻击
3月9日,瑞星“云安全”系统提供的数据表明,网民中流行的“极品时刻表”软件被黑客挂马,截至发稿时为止,瑞星已拦截到66757人次网民遭到攻击。 瑞星安全专家表示,极品时刻表内嵌的网页被黑客植入木马,当用户使用该软件查询列车车次时,就会遭到攻击。
1024 0
|
安全 PHP
数据显示社交网站成黑客发动攻击重要渠道
根据Cellopoint Global Anti-spam Center最新的监控数据显示,因为社交网站(SNS, Social Networking Site)的流行,黑客攻击目标从传统的email逐渐转移至此,其中特别热门的Facebook、Plurk、Twitter等网站就成为主要目标;攻击手法则结合木马程序、僵尸网络、社交工程及邮件钓鱼技术,成为安全威胁新趋势。
1242 0
|
安全 网络安全
谷歌攻击源头指向山东一技校 遭调侃
近日《纽约时报》报道出谷歌公司及数家美国公司先前遭遇“黑客袭击”事件与中国两所学校有关,除上海交通大学外,另一所学校则是山东蓝翔高级技工学校。在国内广告业频繁上镜的蓝翔高级技工学校也“幸不辱命”成为网友们近日关注与调侃的对象。
1310 0
|
存储 安全 数据安全/隐私保护
英万维网主机遭黑客袭击 10万个网站数据被毁
  大型互联网服务供应商称,多达10万个网站的数据被黑客摧毁,他们的攻击目标是在广泛使用的虚拟化应用中的零时差漏洞。   Vaserv主管Rus Foster说,英国时间周一晚,Vaserv英国总部的技术员努力恢复数据,在不明黑客袭击24小时后重新进入了公司系统。
1531 0
|
安全
黑客攻击澳大利亚政府网站 抗议互联网过滤器
2月11日消息,黑客关闭了澳大利亚政府的一些网站,以抗议澳大利亚政府针对淫秽网站和犯罪网站提出的采用互联网过滤器的建议。 澳大利亚总检察长部在声明中说,澳大利亚议会网站被关闭了几乎一个小时。
742 0
|
安全
俄罗斯黑客组织APT 29对挪威政府发动网络攻击,目的不是干预大选
本文讲的是俄罗斯黑客组织APT 29对挪威政府发动网络攻击,目的不是干预大选,近日,挪威外交部、情报部、国家辐射防护局、工党议会以及一所学校受到了俄罗斯黑客组织APT 29的网络钓鱼攻击。挪威官方称尚未有敏感数据泄露。
1419 0
|
安全 Windows
真相浮出:法国警方截获6个涉及WannaCry案件的Tor中继服务器
本文讲的是真相浮出:法国警方截获6个涉及WannaCry案件的Tor中继服务器,上个月,WannaCry勒索软件在全球范围内爆发,短短72个小时内就成功感染了150多个国家的30多万台计算机设备,造成了极大的影响。
1777 0