Ugrupowanie Turla, znane także jako Snake i Uroboros, należy do jednych z najbardziej zaawansowanych na świecie. Jest ono aktywne od ponad 8 lat, a mimo to niewiele było wiadomo na temat jego działania aż do zeszłego roku, gdy opublikowaliśmy nasz raport o Epic Turla.
W badaniu znaleźliśmy przykłady artefaktów językowych wskazujących na to, że za kampanią Turla stoją osoby rosyjskojęzyczne. Atakujący użyli standardu kodowania 1251, który jest najczęściej używany przy używaniu cyrylicy, a także słów typu „zagruzczik”, co oznacza w języku rosyjskim „program rozruchowy”.
Grupa Turla jest szczególnie niebezpieczna i trudna do złapania nie tylko dlatego, że używa skomplikowanych narzędzi, ale także dlatego, że w końcowych etapach ataku wykorzystuje zaawansowane mechanizmy C&C wykorzystujące satelity.
Serwery poleceń są podstawą zaawansowanych cyberataków, ale jednocześnie stanowią najsłabsze ogniwo w szkodliwej infrastrukturze, chętnie analizowane przez badaczy i organy ścigania.
Są ku temu dwa powody. Po pierwsze, serwery te są używane do kontrolowania wszystkich działań. Ich zamknięcie powoduje utrudnienie lub nawet przerwanie całej akcji. Po drugie, mogą być używane do śledzenia fizycznej lokalizacji atakujących.
Dlatego takie ugrupowania zawsze próbują ukryć serwery C&C tak głęboko, jak jest to możliwe. Grupa Turla znalazła na to całkiem skuteczny sposób: ukryli adresy IP serwerów na niebie.
Jednym z najbardziej rozpowszechnionych i niedrogich rodzajów satelitarnej łączności z internetem jest połączenie do klienta (downstream-only). W tym przypadku żądania wychodzące z komputera użytkownika są przesyłane tradycyjnymi kanałami transmisji internetowej — przewodowymi lub komórkowymi — natomiast cały ruch przychodzący pochodzi z satelity.
Technologia ta ma jednak jedną wadę: cały ruch wraca do komputera w postaci niezaszyfrowanej i każdy może go przechwycić. Grupa Turla używa tej luki w nowy i całkiem interesujący sposób: aby ukryć swój ruch C&C.
Rosyjskojęzyczni cyberszpiedzy wykorzystują satelity
Oto, co dokładnie robią cyberprzestępcy z grupy Turla:
- Podsłuchują transmisję z satelity do klientów w celu zidentyfikowania aktywnych adresów IP użytkowników, którzy w danym momencie są online.
- Wybierają aktywne adresy IP online, które bez wiedzy użytkownika wykorzystywane są do zamaskowania serwera kontroli.
- Zainfekowane maszyny są następnie instruowane, aby wyprowadzały dane w kierunku wybranych adresów IP. Dane są przesyłane tradycyjnymi liniami do satelity, a następnie do użytkowników o wybranych adresach IP.
- Dane te są traktowane przez komputer użytkownika jako śmieci, więc atakujący zabierają je z przychodzącego połączenia satelitarnego.
Ponieważ ruch z satelity pokrywa spory obszar, nie można wyznaczyć dokładnego miejsca, w którym fizycznie przebywa atakujący. Aby zabawa w kotka i myszkę była jeszcze bardziej ekscytująca, grupa Turla używała dostawców satelitarnej łączności internetowej zlokalizowanych w państwach Bliskiego Wschodu i Afryki, takich jak Kongo, Liban, Libia, Niger, Nigeria, Somalia czy Zjednoczone Emiraty Arabskie.
Wiązki satelitarne wykorzystywane przez operatorów w tych państwach zwykle nie obejmują terytorium Europy i Ameryki Północnej, co bardzo utrudnia większości badaczy bezpieczeństwa prowadzenie dochodzeń w sprawie takich ataków.
Grupa Turla zainfekowała setki komputerów w ponad 45 krajach łącznie z Kazachstanem, Rosją, Chinami, Wietnamem i Stanami Zjednoczonymi. Do atakowanych organizacji należały instytucje rządowe i ambasady, jak również instytucje wojskowe, edukacyjne, badawcze oraz farmaceutyczne.
To była zła wiadomość. A dobra dla naszych użytkowników jest taka, że produkty firmy Kaspersky Lab wykrywają i blokują szkodliwe oprogramowanie używane przez ugrupowanie Turla.