mapa strony

Zadzwoń aby uzyskać więcej informacji

tel. 22 290 77 01

Rosjanie atakują połączenia satelitarne, aby zachować anonimowość w sieci

Jeśli wynajmiesz serwer (VPS) w jakiejś serwerowni i dodatkowo schowasz się za kilkoma serwerami proxy, wytrwali śledczy także prędzej czy później do Ciebie dotrą. Czy jest więc sposób na pobranie wykradzionych danych w sposób, który nie zdradzi Twojej lokalizacji i tożsamości? Okazuje się że tak… i od 2007 roku korzysta z niego jeden z gangów pracujący najprawdopodobniej dla rosyjskiego rządu.

 

Hackowanie połączeń satelitarnych

 

Internet może docierać do użytkowników na wiele sposobów. Jednym z nich jest połączenie satelitarne. Specyfika tego połączenia (używanego od ponad 20 lat) daje idealne warunki osobom, które chciałyby niepostrzeżenie odebrać informacje tak, aby nie zdradzić swojej tożsamości. Satelita pokrywa bowiem swoim zasięgiem spory obszar geograficzny (czasem kilka krajów równocześnie).


Na czym polega połączenie z internetem przez satelitę? Użytkownik połączenia satelitarnego odbiera z satelity sygnał, który jest tzw. downlinkiem — czyli danymi wysyłanymi do użytkownika. Uplink, czyli dane wysyłane od użytkownika z reguły są transmitowane poprzez linię telefoniczną (tu nie jest wymagana duża przepustowość). Specyfika takiej wymianu ruchu wymusza brak szyfrowania połączenia. Krótko mówiąc — to co satelita przesyła dla danego adresu IP, może zostać odebrane (czyt. podsłuchane) przez dowolną osobę, która znajduje się na obszarze nadawania satelity i dysponuje odpowiednim sprzętem (tj. anteną i modemem DVB-S, np. kartą TBS-6922SE).

 

 

Z tego faktu korzystają rosyjscy przestępcy internetowi, którzy aby zachować anonimowość w trakcie odbierania wykradanych danych postępują w następujący sposób:

 

      1. Tworzą złośliwe oprogramowanie, które po infekcji ofiary transferuje wykradane dane pod zakodowany w trojanie (lub wyliczany dynamicznie) adres domenowy.

 

2. Adres domenowy, dzięki rekonfiguracji serwera DNS (por. Fast Flux), może w jednej chwili wskazywać na jakiś adres IP (konkretny host) a parę minut później na kolejny. Problem w tym, że badacze bezpieczeństwa mogą zwracać się do operatorów/właścicieli tych hostów (zazwyczaj serwerowni wynajmujących VPS-y) i wygaszać dane maszyny, paraliżując prace przestępczego botnetu. Ale można to obejść: przestępcy wskazują jako hosta adres IP abonenta łącza satelitarnego z obszaru, w którym się znajdują, wcześniej prowadząc nasłuch w celu namierzenia obecnie aktywnych abonentów do których satelita wysyła dane.

 

3. Zainfekowana ofiara wysyła więc dane na adres IP niczego nieświadomego klienta łącza satelitarnego. Ponieważ modem klienta nie spodziewa się połączenia przychodzącego na wybrany przez atakujących port (zazwyczaj zamknięty), to po prostu je odrzuca. Abonent nie zauważa (dopóki nie zajrzy w logi modemu) niczego podejrzanego.

 

4. Przestępcy w tym samym czasie prowadzą nasłuch i odczytują wszystkie dane, które złośliwe oprogramowanie wyprowadza z komputera ofiary i przesyła na adres IP zupełnie przypadkowego abonenta łącza satelitarnego. Po wykryciu odpowiedniego pakietu (dropowanego przez modem abonenta łącza satelitarnego) przestępcy spoofują odpowiedź, która połączenie zestawia. Ponieważ przestępcy sami nie są klientami operatora satelitarnego, nie można ich namierzyć. W zasadzie ciężko jest nawet stwierdzić, że ktoś prowadził nasłuch — a nawet jeśli zostanie to potwierdzone, to nie można ustalić w jakim dokładnie miejscu nasłuch był prowadzony, ponieważ sygnał z satelity często trafia na obszar o promieniu półtora tysiąca kilometrów i obejmuje kilka krajów.

 

 

Na ślady wykorzystywania tego typu tricków przez przestępców z grupy Turla wpadli badacze z firmy Kaspersky. Twierdzą oni, że najstarsza próbka złośliwego oprogramowania, która miała zakodowane adresy C&C wskazujące na abonentów łącz satelitarnych pochodzi z 2007 rok. Warto też dodać, że w 2009 roku pojawiły się dwie prezentacje, które opisywały tego typu ataki na połączenia satelitarne.

 

Całość techniki ataku byłaby prawie tak doskonała jak chciałby tego Kaspersky, opisując ją w swoich materiałąch reklamowych, gdyby nie jeden drobny szczegół. Dane jak najbardziej są anonimowo odbierane — ale przecież jeszcze trzeba jakoś dostać się do DNS-a i go przekonfigurować lub — jeśli nie korzysta się z Fast Flux — odpowiedzieć zespoofowanym pakietem do ofiary… Czy to da się wykonać anonimowym downlinkiem przez satelitę? No właśnie… Podsłuch cudzego połączenia satelitarnego jest więc nie tyle sposobem na utrudnienie namierzenia sprawców, a sposobem na utrudnienie namierzenia serwera C&C, co realnie pozwala dłużej prowadzić atak.

 

Źródło:
Niebezpiecznik.pl

Opiekun Informatyczny.pl Sp. z o.o.
Ousourcing IT dla firm
ul. Napierskiego (Wesoła) 6 lok. 2
05-075 Warszawa,

Newsletter

Zapisz się do newslettera by
otrzymywać od nas świeże wiadomości!

 

Copyright © 2018 OpiekunInformatyczny.pl | Wszelkie prawa zastrzeżone