Как операторы Turla перехватывают спутниковые интернет-каналы
Вы когда-нибудь смотрели спутниковое телевидение? Удивлялись многообразию доступных телевизионных каналов и радиостанций? Задумывались над тем, как работают спутниковые телефоны и спутниковые интернет-каналы? А что если мы вам скажем, что спутниковые интернет-каналы – это не только развлечения, информация о ситуации на дорогах и погоде, но и многое-многое другое?
APT-группировкам приходится решать множество проблем. И, наверное, самой большой из них являются частые изъятия и отключения доменов и командных серверов. То и дело серверы конфискуются правоохранительными органами, их также могут закрыть интернет-провайдеры. Иногда эти серверы используют для определения физического местонахождения злоумышленников.
Наиболее продвинутые преступные группировки и пользователи коммерческих инструментов взлома решили проблему отключения серверов, перейдя на использование спутниковых интернет-каналов. Мы уже обнаружили три разные группировки, использующие спутниковые каналы доступа для маскировки своих кампаний. Самой интересной и необычной из них является Turla.
Группировка Turla, которую также называют Snake или Uroburos (по имени ее первоклассного руткита), занимается кибершпионажем уже более 8 лет. Кампаниям этой группировки было посвящено несколько статей, но до публикации «Лабораторией Касперского» исследования «Кампания Epic Turla» мало что было известно об особенностях этих кампаний, например, о первых стадиях заражения в результате атаки типа watering-hole.
Группировку Turla отличает не только сложность инструментария, который включает в себя руткит Uroboros (он же Snake) и механизмы обхода «воздушных зазоров» через многоуровневые прокси-серверы в локальных сетях, но и хитроумный механизм спутниковых командных серверов, используемый на последних этапах атаки.
В этом блоге мы хотим пролить свет на механизмы спутниковых командных серверов, которые APT-группировки типа Turla/Snake используют для управления особо ценными жертвами. Поскольку эти механизмы приобретают все большую популярность, системные администраторы должны выработать правильную стратегию защиты от такого рода атак. См. индикаторы заражения (IOCs) в приложении.
Технические особенности
Начиная с 2007 года наиболее продвинутые APT-группировки, к которым относится и Turla, злонамеренно, хоть и относительно редко, используют спутниковые каналы связи для управления своими кампаниями – чаще всего инфраструктурой командных серверов. Такой способ дает некоторые преимущества (например, затрудняет идентификацию операторов, стоящих за атакой), но при этом создает для злоумышленников определенные риски.
С одной стороны, эти преимущества важны, так как фактическое местонахождение и оборудование командного сервера можно легко вычислить и физически конфисковать. Спутниковый же приемник может находиться в любом месте зоны покрытия спутника, а она обычно довольно велика. Метод, используемый группировкой Turla для взлома нисходящих каналов, анонимен и не требует подписки на спутниковый интернет.
С другой стороны, недостатком является низкая скорость и нестабильность работы спутникового интернета.
Сначала мы и другие исследователи не могли понять, арендуют ли злоумышленники коммерческие спутниковые интернет-каналы или взламывают интернет-провайдеров и проводят MitM-атаки (атаки типа «человек посередине») на уровне маршрутизатора для перехвата потока. Мы проанализировали эти механизмы и пришли к поразительному выводу: метод, используемый группировкой Turla, невероятно прост и прямолинеен. При этом он обеспечивает анонимность, очень дешевую реализацию и управление.
Реальные каналы, MitM-атаки или взлом BGP?
Одним из способов, к которому могут прибегнуть APT-группировки для защиты трафика своих командных серверов, является аренда спутниковых интернет-каналов. Однако дуплексные спутниковые каналы очень дороги: простой дуплексный спутниковый канал со скоростью 1 Мбит/с в обоих направлениях может стоить до 7000 долл. США в неделю. Цена может быть значительно ниже в случае заключения долгосрочных договоров, однако полоса пропускания по-прежнему будет обходиться дорого.
Другим способом попадания командного сервера в диапазон IP-адресов спутникового интернета является перехват сетевого трафика между жертвой и оператором спутниковой связи и внедрение своих пакетов. Для этого потребуется эксплуатировать уязвимости оператора спутниковой связи или другого интернет-провайдера на маршруте.
Эти способы взлома уже встречались ранее и в ноябре 2013 г. были описаны в блоге компании Renesys (которая сейчас вошла в состав компании Dyn).
Из блога Renesys: «Были взломаны BGP-маршруты различных провайдеров, в результате чего часть их интернет-трафика была неверно направлена через белорусских и исландских интернет-провайдеров. В нашем распоряжении имеются данные BGP-маршрутизации, которые посекундно показывают развитие 21 события в Беларуси в феврале и мае 2013 г. и 17 событий в Исландии в июле-августе 2013 г.»
В более поздней заметке в блоге компании Dyn 2015 г. исследователи отмечают: «Для специалистов по безопасности, анализирующих журналы регистрации предупреждений, важно понимать, что IP-адреса, идентифицированные как источники инцидентов, могут быть подменены и регулярно подменяются. Например, за атакой, которая якобы ведется с IP-адреса компании Comcast в Нью-Джерси, на самом деле может стоять взломщик из Восточной Европы, на короткое время захвативший пространство IP-адресов Comcast. Интересно отметить, что во всех шести рассмотренных случаях атаки велись из Европы или России».
Очевидно, что такие явные крупномасштабные атаки не могут быть длительными, а это – одно из основных условий APT-кампаний. Поэтому MitM-атака посредством перехвата трафика маловероятна, если только злоумышленники не контролируют напрямую некоторые точки сети с большой пропускной способностью, например, магистральные маршрутизаторы или волоконную оптику. Судя по некоторым признакам, атаки такого рода постепенно приобретают все большее распространение, однако существует намного более простой способ перехвата спутникового интернет-трафика.
Взлом спутникового канала стандарта DVB-S
О взломе спутниковых каналов стандарта DVB-S писали уже несколько раз, а на конференции BlackHat 2010 исследователь компании S21Sec Leonardo Nve Egea выступил с презентацией, посвященной взлому спутниковых каналов DVB.
Для взлома спутниковых каналов DVB-S требуется:
- спутниковая тарелка, размер которой зависит от географического положения и конкретного спутника
- спутниковый конвертер (LNB)
- специальный спутниковый DVB-S тюнер (плата PCIe)
- ПК, желательно работающий под управлением Linux
Тарелка и LNB – это более или менее стандартное оборудование, а самым важным компонентом является плата. Лучшие платы DVB-S производит сейчас компания TBS Technologies. Лучшей базовой платой для данной задачи может быть плата TBS-6922SE.
Плата PCIe TBS-6922SE для приема каналов в стандарте DVB-S
Плата TBS особенно подходит для этой задачи, так как имеет специальные драйверы режима ядра Linux и поддерживает функцию сканирования brute-force (брутфорс), которая позволяет проверять широкие диапазоны частот на наличие интересующих сигналов. Можно, конечно, использовать и другие платы PCI или PCIe, но USB-плат следует избегать, так как в большинстве случаев они не обеспечивают нужного качества.
В отличие от дуплексного спутникового интернета нисходящие интернет-каналы используют для ускорения скачивания; они отличаются дешевизной и простотой установки. При этом каналы изначально не защищены и не используют шифрование для обфускации трафика. Это создает возможности для злонамеренного использования.
Компании, предоставляющие нисходящие интернет-каналы, используют телепорты для передачи трафика на спутник. Спутник передает трафик в определенные зоны на земле в Ku-диапазоне (12-18 ГГц) путем маршрутизации определенных IP-классов через телепорты.
Как взломать спутниковый интернет?
При атаке на спутниковые интернет-каналы тарелки законных пользователей и злоумышленников направлены на определенный спутник, передающий трафик. Злоумышленники пользуются тем, что пакеты не зашифрованы. После определения IP-адреса, на который маршрутизируется трафик через нисходящий спутниковый канал, злоумышленники начинают прослушивать сеть в ожидании пакетов, передаваемых через интернет на этот IP-адрес. При обнаружении такого пакета (например, TCP/IP SYN) они идентифицируют источник и передают ему подмененный ответный пакет (например, SYN ACK) через обычную линию интернета.
При этом законный пользователь канала просто игнорирует этот пакет, так как он приходит на закрытый порт (например, 80 или 10080). Здесь следует сделать важное замечание: обычно при поступлении пакета на закрытый порт источнику отвечают пакетом RST или FIN, давая понять, что пакет не ждут. Однако для медленных каналов рекомендуется использовать брандмауэры, которые просто ОТБРАСЫВАЮТ пакеты, предназначенные для закрытых портов. Это создает возможность для злонамеренного использования.
Злонамеренно используемые диапазоны IP-адресов
В ходе анализа мы обнаружили, что злоумышленники из группировки Turla использовали нескольких провайдеров спутникового интернета стандарта DVB-S, которые в большинстве своем предоставляли нисходящие интернет-каналы для Ближнего Востока и Африки. Интересно отметить, что в зону покрытия этих лучей не входят Европа и Азия. Это означает, что тарелка должна быть установлена на Ближнем Востоке или в Африке. Тарелка может быть установлена и в других зонах, но тогда она должна быть гораздо больше, от 3 м в диаметре, для усиления сигнала.
Для расчета размера тарелки можно использовать различные инструменты, включая онлайн-ресурсы, например, satbeams.com:
Пример расчета параметров тарелки – (c) www.satbeams.com
В следующей таблице показано несколько командных серверов, связанных с группировкой Turla, имена доменов которых преобразуются в IP-адреса провайдеров спутникового интернета:
IP-адрес | Дата первого обнаружения | Хосты |
84.11.79.6 | ноябрь 2007 г. | отсутствует, см. примечание ниже |
92.62.218.99 | 25 февраля 2014 г. | pressforum.serveblog.net music-world.servemp3.com |
209.239.79.47 | 27 февраля 2014 г. | pressforum.serveblog.net music-world.servemp3.com |
209.239.79.52 | 18 марта 2014 г. | hockey-news.servehttp.com |
209.239.79.152 | 18 марта 2014 г. | hockey-news.servehttp.com |
209.239.79.33 | 25 января 2014 г. | eu-society.com |
92.62.220.170 | 19 марта 2014 г. | cars-online.zapto.org fifa-rules.25u.com forum.sytes.net health-everyday.faqserv.com music-world.servemp3.com nhl-blog.servegame.com olympik-blog.4dq.com supernews.sytes.net tiger.got-game.org top-facts.sytes.net x-files.zapto.org |
92.62.219.172 | 26 апреля 2013 г. | eu-society.com |
82.146.174.58 | 28 мая 2014 г. | forum.sytes.net hockey-news.servehttp.com leagueoflegends.servequake.com music-world.servemp3.com |
82.146.166.56 | 11 марта 2014 г. | easport-news.publicvm.com |
82.146.166.62 | 24 июня 2014 г. | hockey-news.servehttp.com |
62.243.189.231 | 4 апреля 2014 г. | africankingdom.deaftone.com aromatravel.org marketplace.servehttp.com newutils.3utilities.com people-health.net pressforum.serveblog.net weather-online.hopto.org |
77.246.76.19 | 17 марта 2015 г. | onlineshop.sellclassics.com |
62.243.189.187 | 2 мая 2012 г. | eu-society.com |
62.243.189.215 | 3 января 2013 г. | people-health.net |
217.20.243.37 | 3 июля 2014 г. | forum.sytes.net music-world.servemp3.com |
217.20.242.22 | 1 сентября 2014 г. | mediahistory.linkpc.net |
83.229.75.141 | 5 августа 2015 г. | accessdest.strangled.net chinafood.chickenkiller.com coldriver.strangled.net developarea.mooo.com downtown.crabdance.com greateplan.ocry.com industrywork.mooo.com radiobutton.mooo.com securesource.strangled.net sportnewspaper.strangled.net supercar.ignorelist.com supernews.instanthq.com |
Примечание: IP-адрес 84.11.79.6 жестко закодирован в блоке конфигурации вредоносного образца.
Обнаруженные IP-адреса провайдеров спутникового интернета имеют следующую информацию ‘WHOIS’:
IP-адрес | Страна | Интернет-провайдер |
92.62.220.170 92.62.219.172 92.62.218.99 |
Нигерия | Skylinks Satellite Communications Limited |
209.239.79.47 209.239.79.52 209.239.79.152 209.239.79.33 |
ОАЭ | Teleskies, Telesat Network Services Inc |
82.146.174.58 82.146.166.56 82.146.166.62 |
Ливан | Lunasat Isp |
62.243.189.231 62.243.189.187 62.243.189.215 |
Дания | Emperion |
77.246.71.10 77.246.76.19 |
Ливан | Intrasky Offshore S.a.l. |
84.11.79.6 | Германия | IABG mbH |
217.20.243.37 | Сомали | Sky Power International Ltd |
217.20.242.22 | Нигер | Sky Power International Ltd |
83.229.75.141 | Великобритания | SkyVision Global Networks Ltd |
Интерес может представлять IP-адрес 84.11.79.6, который относится к диапазону IP-адресов спутникового интернета компании IABG mbH.
Этот IP-адрес зашифрован в командном сервере бэкдора Agent.DNE, который используется группировкой Turla:
md5 | 0328dedfce54e185ad395ac44aa4223c |
Размер | 91136 байт |
Тип | Windows PE |
Конфигурация командного сервера бэкдора Agent.DNE
Дата компиляции этого образца Agent.DNE – Четверг, 22 ноября 2007 г., 14:34:15. То есть группировка Turla использует спутниковые интернет-каналы уже почти восемь лет.
Выводы
Интересной особенностью кампаний группировки Turla является регулярное использование спутниковых интернет-каналов. Эти каналы действуют не более нескольких месяцев. Пока неясно, связано ли это с ограничениями, наложенными самой группировкой из соображений оперативной безопасности, или вызвано отключением канала другими лицами в результате злонамеренного поведения.
Технический метод, применяемый для создания этих интернет-каналов, основывается на взломе полосы частот нисходящих каналов различных интернет-провайдеров и подмене пакетов. Этот метод легко реализуется и обеспечивает более высокий уровень анонимности, чем любые обычные способы, такие как аренда виртуального выделенного сервера (VPS) или взлом легального сервера.
Начальные инвестиции на реализацию этого метода атаки составляют менее 1000 долларов, а затраты на текущее обслуживание – менее 1000 долларов в год. Учитывая простоту и дешевизну метода, остается только удивляться, что его не используют другие APT-группировки. Хотя этот метод и обеспечивает беспрецедентный уровень анонимности, по логистическим причинам проще положиться на абузоустойчивый хостинг, несколько уровней прокси или взломанные веб-сайты. На самом деле группировка Turla использует все эти методы, поэтому ее кампании кибершпионажа являются такими универсальными, динамичными и гибкими.
В заключение следует отметить, что Turla – не единственная APT-группировка, использующая спутниковые интернет-каналы. На IP-адресах спутникового интернета были замечены командные серверы группировок HackingTeam и Xumuxu, а в последнее время также APT-группировка Rocket Kitten.
Если данный метод получит широкое распространение среди APT-группировок или, что еще хуже, киберпреступных группировок, это создаст серьезную проблему для специалистов по IT-безопасности и органов контрразведки.
* Пользователи Kaspersky Intelligence Services могут получить полный текст статьи об использовании группировкой Turla спутниковых интернет-каналов.
Индикаторы заражения (IOCs)
IP-адреса:
84.11.79.6
41.190.233.29
62.243.189.187
62.243.189.215
62.243.189.231
77.246.71.10
77.246.76.19
77.73.187.223
82.146.166.56
82.146.166.62
82.146.174.58
83.229.75.141
92.62.218.99
92.62.219.172
92.62.220.170
92.62.221.30
92.62.221.38
209.239.79.121
209.239.79.125
209.239.79.15
209.239.79.152
209.239.79.33
209.239.79.35
209.239.79.47
209.239.79.52
209.239.79.55
209.239.79.69
209.239.82.7
209.239.85.240
209.239.89.100
217.194.150.31
217.20.242.22
217.20.243.37
Имена хостов:
accessdest.strangled[.]net
bookstore.strangled[.]net
bug.ignorelist[.]com
cars-online.zapto[.]org
chinafood.chickenkiller[.]com
coldriver.strangled[.]net
developarea.mooo[.]com
downtown.crabdance[.]com
easport-news.publicvm[.]com
eurovision.chickenkiller[.]com
fifa-rules.25u[.]com
forum.sytes[.]net
goldenroade.strangled[.]net
greateplan.ocry[.]com
health-everyday.faqserv[.]com
highhills.ignorelist[.]com
hockey-news.servehttp[.]com
industrywork.mooo[.]com
leagueoflegends.servequake[.]com
marketplace.servehttp[.]com
mediahistory.linkpc[.]net
music-world.servemp3[.]com
new-book.linkpc[.]net
newgame.2waky[.]com
newutils.3utilities[.]com
nhl-blog.servegame[.]com
nightstreet.toh[.]info
olympik-blog.4dq[.]com
onlineshop.sellclassics[.]com
pressforum.serveblog[.]net
radiobutton.mooo[.]com
sealand.publicvm[.]com
securesource.strangled[.]net
softstream.strangled[.]net
sportacademy.my03[.]com
sportnewspaper.strangled[.]net
supercar.ignorelist[.]com
supernews.instanthq[.]com
supernews.sytes[.]net
telesport.mooo[.]com
tiger.got-game[.]org
top-facts.sytes[.]net
track.strangled[.]net
wargame.ignorelist[.]com
weather-online.hopto[.]org
wintersport.mrbasic[.]com
x-files.zapto[.]org
MD5s:
0328dedfce54e185ad395ac44aa4223c
18da7eea4e8a862a19c8c4f10d7341c0
2a7670aa9d1cc64e61fd50f9f64296f9
49d6cf436aa7bc5314aa4e78608872d8
a44ee30f9f14e156ac0c2137af595cf7
b0a1301bc25cfbe66afe596272f56475
bcfee2fb5dbc111bfa892ff9e19e45c1
d6211fec96c60114d41ec83874a1b31d
e29a3cc864d943f0e3ede404a32f4189
f5916f8f004ffb85e93b4d205576a247
594cb9523e32a5bbf4eb1c491f06d4f9
d5bd7211332d31dcead4bfb07b288473
Образцы Turla детектируются продуктами «Лаборатории Касперского» как:
Backdoor.Win32.Turla.cd
Backdoor.Win32.Turla.ce
Backdoor.Win32.Turla.cl
Backdoor.Win32.Turla.ch
Backdoor.Win32.Turla.cj
Backdoor.Win32.Turla.ck
Trojan.Win32.Agent.dne
Turla и спутниковый интернет: управление APT-атаками в небе