Рад вас видеть, банда! Вы когда-нибудь смотрели спутниковое телевидение? Удивлялись многообразию доступных телевизионных каналов и радиостанций? Задумывались над тем, как работают спутниковые телефоны и спутниковые интернет-каналы? А что если я скажу, что спутниковые интернет-каналы – это не только развлечения, информация о ситуации на дорогах и погоде, но и многое-многое другое?
APT-группировкам приходится решать множество проблем. И, наверное, самой большой из них являются частые изъятия и отключения доменов и командных серверов. То и дело серверы конфискуются правоохранительными органами, их также могут закрыть интернет-провайдеры. Иногда эти серверы используют для определения физического местонахождения злоумышленников.
Наиболее продвинутые преступные группировки и пользователи коммерческих инструментов взлома решили проблему отключения серверов, перейдя на использование спутниковых интернет-каналов. Мы уже обнаружили три разные группировки, использующие спутниковые каналы доступа для маскировки своих кампаний. Самой интересной и необычной из них является Turla.
Группировка Turla, которую также называют Snake или Uroburos (по имени ее первоклассного руткита), занимается кибершпионажем уже более 8 лет. Кампаниям этой группировки было посвящено несколько статей, но до публикации «Лабораторией Касперского» исследования «Кампания Epic Turla» мало что было известно об особенностях этих кампаний, например, о первых стадиях заражения в результате атаки типа watering-hole.
Группировку Turla отличает не только сложность инструментария, который включает в себя руткит Uroboros (он же Snake) и механизмы обхода «воздушных зазоров» через многоуровневые прокси-серверы в локальных сетях, но и хитроумный механизм спутниковых командных серверов, используемый на последних этапах атаки.
В этой статье я хочу пролить свет на механизмы спутниковых командных серверов, которые APT-группировки типа Turla/Snake используют для управления особо ценными жертвами. Поскольку эти механизмы приобретают все большую популярность, системные администраторы должны выработать правильную стратегию защиты от такого рода атак.
ТЕХНИЧЕСКИЕ ОСОБЕННОСТИ
Начиная с 2007 года наиболее продвинутые APT-группировки, к которым относится и Turla, злонамеренно, хоть и относительно редко, используют спутниковые каналы связи для управления своими кампаниями – чаще всего инфраструктурой командных серверов. Такой способ дает некоторые преимущества (например, затрудняет идентификацию операторов, стоящих за атакой), но при этом создает для злоумышленников определенные риски.
С одной стороны, эти преимущества важны, так как фактическое местонахождение и оборудование командного сервера можно легко вычислить и физически конфисковать. Спутниковый же приемник может находиться в любом месте зоны покрытия спутника, а она обычно довольно велика. Метод, используемый группировкой Turla для взлома нисходящих каналов, анонимен и не требует подписки на спутниковый интернет.
Сначала мы и другие исследователи не могли понять, арендуют ли злоумышленники коммерческие спутниковые интернет-каналы или взламывают интернет-провайдеров и проводят MitM-атаки (атаки типа «человек посередине») на уровне маршрутизатора для перехвата потока. Мы проанализировали эти механизмы и пришли к поразительному выводу: метод, используемый группировкой Turla, невероятно прост и прямолинеен. При этом он обеспечивает анонимность, очень дешевую реализацию и управление.
Реальные каналы, MitM-атаки или взлом BGP?
ним из способов, к которому могут прибегнуть APT-группировки для защиты трафика своих командных серверов, является аренда спутниковых интернет-каналов. Однако дуплексные спутниковые каналы очень дороги: простой дуплексный спутниковый канал со скоростью 1 Мбит/с в обоих направлениях может стоить до 7000 долл. США в неделю. Цена может быть значительно ниже в случае заключения долгосрочных договоров, однако полоса пропускания по-прежнему будет обходиться дорого.
Другим способом попадания командного сервера в диапазон IP-адресов спутникового интернета является перехват сетевого трафика между жертвой и оператором спутниковой связи и внедрение своих пакетов. Для этого потребуется эксплуатировать уязвимости оператора спутниковой связи или другого интернет-провайдера на маршруте.
Взлом спутникового канала стандарта DVB-S
О взломе спутниковых каналов стандарта DVB-S писали уже несколько раз, а на конференции BlackHat 2010 исследователь компании S21Sec Leonardo Nve Egea выступил с презентацией, посвященной взлому спутниковых каналов DVB.
Для взлома спутниковых каналов DVB-S требуется:
1. спутниковая тарелка, размер которой зависит от географического положения и конкретного спутника
2. спутниковый конвертер (LNB)
3. специальный спутниковый DVB-S тюнер (плата PCIe)
4. ПК, желательно работающий под управлением Linux
Тарелка и LNB – это более или менее стандартное оборудование, а самым важным компонентом является плата. Лучшие платы DVB-S производит сейчас компания TBS Technologies. Лучшей базовой платой для данной задачи может быть плата TBS-6922SE.
ВЫВОДЫ:
Интересной особенностью кампаний группировки Turla является регулярное использование спутниковых интернет-каналов. Эти каналы действуют не более нескольких месяцев. Пока неясно, связано ли это с ограничениями, наложенными самой группировкой из соображений оперативной безопасности, или вызвано отключением канала другими лицами в результате злонамеренного поведения.
Технический метод, применяемый для создания этих интернет-каналов, основывается на взломе полосы частот нисходящих каналов различных интернет-провайдеров и подмене пакетов. Этот метод легко реализуется и обеспечивает более высокий уровень анонимности, чем любые обычные способы, такие как аренда виртуального выделенного сервера (VPS) или взлом легального сервера.
Начальные инвестиции на реализацию этого метода атаки составляют менее 1000 долларов, а затраты на текущее обслуживание – менее 1000 долларов в год. Учитывая простоту и дешевизну метода, остается только удивляться, что его не используют другие APT-группировки. Хотя этот метод и обеспечивает беспрецедентный уровень анонимности, по логистическим причинам проще положиться на абузоустойчивый хостинг, несколько уровней прокси или взломанные веб-сайты. На самом деле группировка Turla использует все эти методы, поэтому ее кампании кибершпионажа являются такими универсальными, динамичными и гибкими.
В заключение следует отметить, что Turla – не единственная APT-группировка, использующая спутниковые интернет-каналы. На IP-адресах спутникового интернета были замечены командные серверы группировок HackingTeam и Xumuxu, а в последнее время также APT-группировка Rocket Kitten.
Если данный метод получит широкое распространение среди APT-группировок или, что еще хуже, киберпреступных группировок, это создаст серьезную проблему для специалистов по IT-безопасности и органов контрразведки .