Nhóm gián điệp mạng Turla xâm nhập đường truyền mạng vệ tinh

turla-globalMột nhóm gián điệp gốc Nga nhắm đến chính phủ, ngoại giao, quân sự, giáo dục và các tổ chức nghiên cứu đã cướp các kết nối Internet dựa trên vệ tinh để che giấu các máy chủ của họ từ các nhà nghiên cứu an ninh và các cơ quan thực thi pháp luật

Nhóm này được biết đến như là Epic Turla, Snake or Uroburos và 1 số hoạt động của nhóm đã bị phát hiện từ tháng 2/2014 và nhóm này đã hoạt động được ít nhất 8 năm .

Nhóm này được biết đến với việc sử dụng phần mềm độc hại rất tinh vi cho cả hệ điều hành Windows và Linux, cũng như các proxy đa tầng cho bỏ qua phân đoạn mạng và cô lập các cơ chế.

Theo một báo cáo mới được công bố hôm Thứ Tư bởi Kaspersky Lab, nhóm Turla cũng có  phương pháp che giấu khác : chiếm đường kết nối internet trên DVB_S ( truyền hình số vệ tinh ) tiêu chuẩn

kết nối Internet thông qua DVB-S vẫn được sử dụng ở một số vùng trên thế giới nơi cơ sở hạ tầng Internet tốc độ cao không có mặt hoặc không phát triển tốt.

Khi sử dụng một kết nối như vậy, máy tính yêu cầu nội dung Internet qua một kết nối Internet thông thường, nhưng nhận được dữ liệu từ một vệ tinh thông qua một ăng-ten parabol. Với kết nối này, tốc độ tải lên là chậm hơn nhiều so với một tải xuống.

Vấn đề là khi một vệ tinh truyền các gói dữ liệu trong phạm vi tần số DVB-S rộng, những gói tin được mã hóa và được phát sóng cho toàn bộ khu vực của thế giới bao phủ bởi vệ tinh. Điều này cho phép một người nào đó với một ăng-ten mạnh mẽ để đánh chặn và đọc các gói tin dành cho một máy thu ở xa, ví dụ như trong một quốc gia khác nhau.

Những kẻ tấn công Turla đang khai thác điểm yếu này để che giấu địa chỉ thực của các máy chủ ra lệnh và kiểm soát của họ, các nhà nghiên cứu từ Kaspersky Lab cho biết trong báo cáo của họ.

Đầu tiên, những kẻ tấn công chọn IP (Internet Protocol), địa chỉ của người sử dụng kết nối Internet dựa trên vệ tinh và sau đó họ cấu hình tên miền cho các máy chủ ra lệnh và kiểm soát của họ để trỏ đến địa chỉ đó.

Các máy tính bị nhiễm sau đó sẽ cố gắng liên hệ với địa chỉ IP của người dùng không nghi ngờ để gửi dữ liệu bị đánh cắp hoặc nhận được hướng dẫn. Lưu lượng sẽ được gửi đến ISP của người dùng và sẽ được phát sóng qua vệ tinh tại điểm mà những kẻ tấn công, những người đang đánh hơi các kết nối vệ tinh trong khu vực, sẽ chặn nó.

Sau đó họ sẽ gửi trả lời cho các máy tính bị nhiễm thông qua kết nối Internet thường xuyên, nhưng làm cho họ xuất hiện như là nếu họ đã được gửi theo địa chỉ IP của người sử dụng vệ tinh. Để làm được điều này, họ cần phải nhắm mục tiêu một ISP mà không bảo vệ chống lại các địa chỉ IP giả mạo.

Kỹ thuật này không phải là mới và đã được trình bày tại hội nghị bảo mật trong quá khứ. Tuy nhiên, có bằng chứng cho thấy các nhóm Turla đã được sử dụng nó kể từ năm 2007.

Nhóm này thích lạm dụng các nhà cung cấp Internet DVB-S từ các nước ở Trung Đông và châu Phi. Điều này làm cho Tin tặc khó phát hiện bởi các nhà nghiên cứu bảo mật có trụ sở tại Mỹ hoặc châu Âu khi chùm vệ tinh nhắm mục tiêu không thể theo dõi các vùng đó.

Phương pháp này là kỹ thuật dễ thực hiện và che giấu những kẻ tấn công tốt hơn so với thuê một máy chủ riêng ảo từ một công ty lưu trữ hoặc sử dụng một máy chủ bị hack tài khoản cho các lệnh và kiểm soát, các nhà nghiên cứu Kaspersky cho biết.

Nhóm APT (advanced persistent threat) đã bị phát hiện  bằng cách sử dụng các liên kết Internet dựa trên vệ tinh trong quá khứ bao gồm nhóm sản xuất phần mềm gaisn điệp ở Italian và 2 nhóm gián điệp được biết đến như Xumuxu and Rocket Kitten.

Nếu phương pháp này trở nên phổ biến giữa các nhóm APT hay worse, cyber-criminal điều này sẽ đặt ra một vấn đề nghiêm trọng đối với an ninh CNTT và cộng đồng phản gián”, các nhà nghiên cứu Kaspersky cho biết.

Nguồn : pcworld.com

Ads

https://vnitnews.com

Leave a Reply

Email của bạn sẽ không được hiển thị công khai.