Ekonomický deník (Ekonomický deník)
Investice  |  13.09.2015 06:00:42

Turla využívá bezpečnostní slabiny v globální satelitní síti


Rusky hovořící kyberšpionážní skupina Turla využívá bezpečnostní slabiny v globální satelitní síti, aby zabránila odhalení svých aktivit a fyzické polohy. 

Turla nakazila stovky počítačů ve více než 45 zemích světa a mezi napadenými byly i vládní organizace, velvyslanectví, armády či vzdělávací, výzkumné a farmaceutické společnosti. Nejprve backdoor Epic provede profilaci obětí a poté útočníci u nejvýznamnějších cílů použijí rozsáhlý komunikační mechanismus založený na satelitech, který jim pomáhá zakrýt stopy.

Satelitní komunikace je známá především jako nástroj pro televizní vysílání a zabezpečenou komunikaci. Používá se však také pro poskytování přístupu k internetu v odlehlých místech, kde jsou jiné typy připojení buď nestabilní, pomalé nebo nejsou k dispozici vůbec. Takzvaný downstream-only (pouze pro přenos dat ze sítě) je jedním z nejrozšířenějších a cenově výhodných typů satelitního internetového připojení.

satellite_Internet_eng_4

V případě downstream-only připojení se odchozí požadavky z počítače uživatele šíří prostřednictvím konvenčních linek (kabelové či GPRS připojení) spolu s veškerými daty mířícími ze satelitu. To umožní uživateli dosáhnout relativně vysoké rychlosti stahování, ale s jednou velkou nevýhodou. Veškerý downstream provoz se vrací zpět do počítače nezašifrovaný. Jakýkoliv podvodník tak může s tím správným a levným vybavením a softwarem jednoduše provoz zachytit a získat tak přístup ke všem datům, která uživatel stahuje.

Turla využívá tuto slabinu jinak – k zakrytí polohy svých C&C severů, tedy jedné z nejdůležitějších částí celé škodlivé infrastruktury. Tyto servery jsou „domovskou základnou“ pro malware umístěný na cílových zařízeních a jejich objevení může dovést vyšetřovatele k odhalení detailů o aktérech, kteří za operací stojí. Turla využívá následující postup k minimalizování takových rizik:

  1. skupina nejdříve sleduje stahování ze satelitu, aby identifikovala aktivní IP adresy uživatelů, kteří jsou v ten moment online a používají satelitní internet;
  2. poté si vybere online IP adresu, která zamaskuje C&C server bez vědomí legitimního uživatele;
  3. následně jsou infikované počítače instruovány, aby propustily data směrem k vybraným IP adresám. Data cestují skrze konvenční linky k teleportům poskytovatele satelitního internetu, dále do satelitů a nakonec ze satelitu k uživatelům s vybranou IP adresou.

Zajímavé je, že i legitimní uživatel, jehož IP adresa byla použita k získání dat z nakaženého počítače, obdrží tyto balíčky, ale skoro si jich nevšimne. Útočníci totiž instruují infikované zařízení, aby poslalo data portům, které jsou ve většině případů ve výchozím nastavení uzavřeny. Počítač legitimního uživatele tedy pakety propustí, zatímco C&C servery Turly, které udržují tyto porty otevřené, je obdrží a zpracují.

Další zajímavostí je, že aktéři Turly tíhnou k využívání poskytovatelů satelitního internetového připojení nacházejících se na Středním východě a v Africe. Satelitní signál, který používají operátoři v těchto zemích, obvykle nepokryje území Evropy a Severní Ameriky, což ztěžuje vyšetřování takovýchto útoků.

„V minulosti jsme zažili nejméně tři různé aktéry, kteří využívali satelitní internetové spojení k zamaskování svých operací. Řešení vyvinuté skupinou Turla je z nich nejzajímavější a nejneobvyklejší. Skupina je schopna dosáhnout maximální anonymity tím, že zneužije hojně používanou technologii jednosměrného satelitního internetu. Útočníci mohou být kdekoliv v dosahu vybraného satelitu, tedy v oblasti, která může přesáhnout tisíce čtverečních kilometrů, a je tak skoro nemožné je vystopovat,“ řekl Stefan Tanase, přední analytik Kaspersky Lab.

-of- 


Ekonomický deník přináší zpravodajství, analýzy a komentáře ze světa ekonomiky a technologií.

Hodnocení článku: 10 | 8 | 6 | 4 | 2 | 0

Turla využívá bezpečnostní slabiny v globální satelitní síti

Diskuze a názory

Na dané téma nejsou žádné názory.


Poslední zprávy z rubriky Investice:

Po 22:08  Wall Street začala týden červenou remízou Patria (Patria Finance)
Po 22:05  Closing Bell & výhled na 16. 10. Grant Capital (Grant Capital)
Po 17:49  Koruna propadlíkem regionu (Komentář) Investiční bankovnictví (Komerční banka)






Zobrazit sloupec 
Kurzy.cz - Akcie cz, kurzy měn, forex, zlato.
TOP: Akcie CZ Akcie svět Kurzy měn Komodity Zlato Bitcoin Hypotéky Tarify Energie Kalkulačka Zákony Práce Školení Počasí

Kalkulačka

Výpočet čisté mzdy

Přídavky na dítě

Příspěvek na bydlení

Rodičovský příspěvek

Sociální příplatek

Životní minimum

Hypoteční kalkulačka

Důchodová kalkulačka

Banky a Bankomaty

Úrokové sazby

Běžné účty

Hypotéky

Stavební spoření

Podílové fondy

Směnárny - Euro, Dolar

Úřad práce

Investice

Makroekonomika - ČNB

Kryptoměny - Bitcoin, Ethereum

Zlato online, Stříbro, Ropa

Burza - ČEZ

Pojištění

Povinné ručení

Penzijní připojištění

Penzijní fondy

Podnikání

Obchodní rejstřík

Města a obce, PSČ

Katastr nemovitostí

Ochranné známky

Finanční katalog

Nový občanský zákoník

Zákoník práce

Stavební zákon

Daně, formuláře

Další odkazy

Auto - TÜV spolehlivost

Monitoring ekonomiky

Mapa webu

Volby

English version

Czech currency

Prague stock exchange


Copyright © 2000 - 2018

Kurzy.cz, spol. s r.o., AliaWeb, spol. s r.o.,

ISSN 1801-8688

Ochrana údajů | Cookies