Turla і супутникове інтернет-управління APT-атаками в небі, Securelist

Як оператори Turla перехоплюють супутникові інтернет-канали

APT-угрупованням доводиться вирішувати безліч проблем. І, напевно, найбільшою з них є часті вилучення та відключення доменів та командних серверів. Раз у раз сервери конфіскуються правоохоронними органами, їх також можуть закрити інтернет-провайдери. Іноді ці сервери використовують визначення фізичного місцезнаходження зловмисників.

Найбільш просунуті злочинні угруповання та користувачі комерційних інструментів злому вирішили проблему відключення серверів, перейшовши на використання супутникових інтернет-каналів. Ми вже виявили три різні угруповання, які використовують супутникові канали доступу для маскування своїх кампаній. Найцікавішою та незвичайною з них є Turla.

Угруповання Turla відрізняє не тільки складність інструментарію, який включає руткіт Uroboros (він же Snake) і механізми обходу «повітряних зазорів» через багаторівневі проксі-сервери в локальних мережах, але й хитромудрий механізм супутникових командних серверів, що використовується на останніх етапах атаки.

У цьому блозі ми хочемо пролити світло на механізми супутникових командних серверів, які APT-угруповання типу Turla/Snake використовують для управління особливо цінними жертвами. Оскільки ці механізми набувають все більшої популярності, системні адміністратори повинні виробити правильну стратегію захисту від таких атак.Див. індикатори зараження (IOCs) у додатку.

супутникове

Технічні особливості

Починаючи з 2007 року найпросунутіші APT-угруповання, до яких належить і Turla, зловмисно, хоч і відносно рідко, використовують супутникові канали зв'язку для управління своїми кампаніями.- Найчастіше інфраструктурою командних серверів. Такий спосіб дає деякі переваги (наприклад, ускладнює ідентифікацію операторів, що стоять за атакою), але при цьому створює певні ризики для зловмисників.

З одного боку, ці переваги є важливими, оскільки фактичне місцезнаходження та обладнання командного сервера можна легко обчислити та фізично конфіскувати. Супутниковий приймач може знаходитися в будь-якому місці зони покриття супутника, а вона зазвичай досить велика. Метод, що використовується угрупуванням Turla для злому низхідних каналів, анонімен і не вимагає передплати супутникового інтернету.

З іншого боку, недоліком є ​​низька швидкість та нестабільність роботи супутникового інтернету.

Спочатку ми та інші дослідники не могли зрозуміти, чи зловмисники орендують комерційні супутникові інтернет-канали або зламують інтернет-провайдерів і проводять MitM-атаки (атаки типу «людина посередині») на рівні маршрутизатора для перехоплення потоку. Ми проаналізували ці механізми і дійшли разючого висновку: метод, що використовується угрупованням Turla, неймовірно простий і прямолінійний. При цьому він забезпечує анонімність, дуже дешеву реалізацію та управління.

Реальні канали, MitM-атаки чи злом BGP?

Одним із способів, до якого можуть вдатися APT-угруповання для захисту трафіку своїх командних серверів, є оренда супутникових інтернет-каналів. Однак дуплексні супутникові канали дуже дорогі: простий дуплексний супутниковий канал зі швидкістю 1 Мбіт/с в обох напрямках може коштувати до 7000 дол. США на тиждень. Ціна може бути значно нижчою у разі укладання довгострокових договорів, проте смуга пропускання, як і раніше, коштуватиме дорого.

Очевидно, що такі явні великомасштабні атаки неможуть бути тривалими, а це одна з основних умов APT-кампаній. Тому MitM-атака за допомогою перехоплення трафіку є малоймовірною, якщо тільки зловмисники не контролюють безпосередньо деякі точки мережі з великою пропускною здатністю, наприклад, магістральні маршрутизатори або волоконну оптику. Судячи з деяких ознак, атаки такого роду поступово набувають все більшого поширення, проте існує набагато простіший спосіб перехоплення супутникового інтернет-трафіку.

супутникове

Злам супутникового каналу стандарту DVB-S

Про злом супутникових каналів стандарту DVB-S писали вже кілька разів, а на конференції BlackHat 2010 дослідник компанії S21Sec Leonardo Nve Egea виступив із презентацією, присвяченою злому супутникових каналів DVB.

Для зламування супутникових каналів DVB-S потрібно:

  • супутникова тарілка, розмір якої залежить від географічного положення та конкретного супутника
  • супутниковий конвертер (LNB)
  • спеціальний супутниковий DVB-S тюнер (плата PCIe)
  • ПК, що бажано працює під керуванням Linux

Тарілка та LNB – це більш менш стандартне обладнання, а найважливішим компонентом є плата. Найкращі плати DVB-S виробляє зараз компанія TBS Technologies. Найкращою базовою платою для цього завдання може бути плата TBS-6922SE.

інтернет-управління

Плата PCIe TBS-6922SE для прийому каналів у стандарті DVB-S

Плата TBS особливо підходить для цього завдання, оскільки має спеціальні драйвери режиму ядра Linux і підтримує функцію сканування brute-force (брутфорс), яка дозволяє перевіряти широкі діапазони частот на наявність сигналів, що цікавлять. Можна, звичайно, використовувати й інші плати PCI або PCIe, але USB-плат слід уникати, оскількиздебільшого вони не забезпечують потрібної якості.

На відміну від дуплексного супутникового інтернету, низхідні інтернет-канали використовують для прискорення скачування; вони відрізняються дешевизною та простотою установки. При цьому канали спочатку не захищені та не використовують шифрування для обфускування трафіку. Це створює можливості для зловмисного використання.

Компанії, що надають низхідні інтернет-канали, використовують телепорти передачі трафіку на супутник. Супутник передає трафік до певних зон на землі в Ku-діапазоні (12-18 ГГц) шляхом маршрутизації певних IP-класів через телепорти.

Як зламати супутниковий інтернет?

При цьому законний користувач каналу просто ігнорує цей пакет, оскільки він приходить до закритого порту (наприклад, 80 або 10080). Тут слід зробити важливе зауваження: зазвичай при надходженні пакета на закритий порт джерелу відповідають пакетом RST або FIN, даючи зрозуміти, що пакет не чекають. Однак для повільних каналів рекомендується використовувати брандмауери, які просто відкидають пакети, призначені для закритих портів. Це створює можливість зловмисного використання.

В ході аналізу ми виявили, що зловмисники з угрупування Turla використовували кількох провайдерів супутникового інтернету стандарту DVB-S, які здебільшого надавали низхідні інтернет-канали для Близького Сходу та Африки. Цікаво відзначити, що до зони покриття цих променів не входять Європа та Азія. Це означає, що тарілка має бути встановлена ​​на Близькому Сході або в Африці. Тарілка може бути встановлена ​​і в інших зонах, але тоді вона повинна бути набагато більшою, від 3 м діаметром, для посилення сигналу.

Для розрахунку розміру тарілки можна використовувати різні інструменти,включаючи онлайн-ресурси, наприклад satbeams.com:

turla

Приклад розрахунку параметрів тарілки – (c) www.satbeams.com

md50328dedfce54e185ad395ac44aa4223c
Розмір91136 байт
ТипWindows PE

супутникове

Конфігурація командного сервера бекдору Agent.DNE

Цікавою особливістю угруповань Turla є регулярне використання супутникових інтернет-каналів. Ці канали діють трохи більше кількох місяців. Поки що неясно, чи це пов'язано з обмеженнями, накладеними самим угрупуванням з міркувань оперативної безпеки, чи викликано відключенням каналу іншими особами внаслідок зловмисної поведінки.

Технічний метод, який використовується для створення цих інтернет-каналів, ґрунтується на зламі смуги частот низхідних каналів різних інтернет-провайдерів та заміні пакетів. Цей метод легко реалізується і забезпечує більш високий рівень анонімності, ніж будь-які звичайні способи, такі як оренда виділеного віртуального сервера (VPS) або злом легального сервера.

Початкові інвестиції на реалізацію цього методу атаки становлять менше ніж 1000 доларів, а витрати на поточне обслуговування – менше ніж 1000 доларів на рік. Враховуючи простоту та дешевизну методу, залишається лише дивуватися, що його не використовують інші APT-угруповання. Хоча цей метод і забезпечує безпрецедентний рівень анонімності, з логістичних причин легше покластися на абузостійкий хостинг, кілька рівнів проксі або зламані веб-сайти. Насправді угруповання Turla використовує всі ці методи, тому її кампанії кібершпигунства є такими універсальними, динамічними та гнучкими.

Якщо цей метод набуде широкого поширення серед APT-угруповань або, що ще гірше, кіберзлочинних угруповань, це створить серйозну проблему для фахівців із IT-безпеки та органів контррозвідки.

* Користувачі Kaspersky Intelligence Services можуть отримати повний текст статті про використання угрупування Turla супутникових інтернет-каналів.

Індикатори зараження (IOCs)

84.11.79.6 41.190.233.29 62.243.189.187 62.243.189.215 62.243.189.231 77.246.76.7.6.7.6 3.187.223 82.146. 166.56 82.146.166.62 82.146.174.58 83.229.75.141 92.62.218.99 92.62.219.172 2.2.2.2.2.2. 30 92.62.221.38 209.239.79.121 209.239.79.125 209.239.79.15 209.239.79.152 209.239.79.33 209.23.29.29. 209.239.79.52 209.239.79.55 209.239.79.69 209.239.82.7 209.239.85.240 209.239.89.100 217.194.2.2.2. 217.20.243.37

Імена хостів:

accessdest.strangled[.]net bookstore.strangled[.]net bug.ignorelist[.]com cars-online.zapto[.]org chinafood.chickenkiller[.]com coldriver.strangled[.]net developarea.mooo[.]com downtown.crabdance[.]com easport-news.publicvm[.]com eurovision.chickenkiller[.] com fifa-rules.25u[.]com forum.sytes[.]net goldenroade.strangled[.]net greateplan.ocry[.]com health-everyday. faqserv[.]com highhills.ignorelist[.]com hockey-news.servehttp[.]com industrywork.mooo[.]com leagueoflegends.servequake[.]com marketplace.servehttp[.]com mediahistory.linkpc[.]net music-world.servemp3[.]com new-book.linkpc[.]net newgame.2waky[.] com newutils.3utilities[.]com nhl-blog.servegame[.]com nightstreet.toh[.]info olympik-blog.4dq[.]com onlineshop.sellclassics[.]com pressforum.serveblog[.]net radiobutton.mooo[.]com sealand.publicvm[.]com securesource.strangled[.]net softstream.strangled[.]net sportacademy.my03[.]com sportnewspaper.strangled[.]net supercar.ignorelist[.]com supernews.instanthq[.]com supernews.sytes[.]net telesport.mooo[.]com tiger.got-game[.]org top-facts.sytes[.]net track.strangled [.]net wargame.ignorelist[.]com weather-online.hopto[.]org wintersport.mrbasic[.]com x-files.zapto[.]org

0328dedfce54e185ad395ac44aa4223c 18da7eea4e8a862a19c8c4f10d7341c0 2a7670aa9d1cc64e61fd50f9f64296f9 49d6cf436aa7bc5314aa 4e78608872d8 a44ee30f9f14e156ac0c2137af595cf7 b0a1301bc25cfbe66afe596272f56475 bcfee2fb5dbc111bfa892ff9e19e45c1 d6211fe c96c60114d41ec83874a1b31d e29a3cc864d943f0e3ede404a32f4189 f5916f8f004ffb85e93b4d205576a247 594cb9523e32a5bbf4eb1c491f0 6d4f9 d5bd7211332d31dcead4bfb07b288473