LIKE ONLINE

Ρωσόφωνοι χάκερ επιτίθενται μέσω δορυφόρων

Ρωσόφωνοι χάκερ επιτίθενται μέσω δορυφόρων

Στοχεύουν κυβερνητικά όργανα και πρεσβείες, στρατιωτικούς οργανισμούς, ακαδημαϊκά και ερευνητικά ιδρύματα και φαρμακευτικές εταιρείες

Κατά τη διάρκεια έρευνας σχετικά με τον διαβόητο ρωσόφωνο φορέα ψηφιακής κατασκοπείας Turla, οι ερευνητές της Kaspersky Lab ανακάλυψαν τον τρόπο με τον οποίο αποφεύγει τον εντοπισμό των δραστηριοτήτων και της φυσικής τοποθεσίας του. Για να εξασφαλίσει την ανωνυμία της, η συγκεκριμένη ομάδα χρησιμοποιεί τα τρωτά σημεία ασφάλειας σε παγκόσμια δορυφορικά δίκτυα.
Η Turla είναι μία εξελιγμένη ομάδα χάκερ που είναι ενεργή πάνω από οκτώ χρόνια. Οι επιτιθέμενοι πίσω από την ομάδα Turla έχουν «μολύνει» εκατοντάδες υπολογιστές σε περισσότερες από 45 χώρες, ανάμεσα στις οποίες και το Καζακστάν, η Ρωσία, η Κίνα, το Βιετνάμ και οι Ηνωμένες Πολιτείες. Στους οργανισμούς που έχουν πληγεί περιλαμβάνονται κυβερνητικά όργανα και πρεσβείες, στρατιωτικοί οργανισμοί, ακαδημαϊκά και ερευνητικά ιδρύματα και φαρμακευτικές εταιρείες. 

Στο αρχικό στάδιο, το backdoor Epic προχωρά στην ανάπτυξη του προφίλ των θυμάτων. Εν συνεχεία – και μόνο για τους πιο υψηλού επιπέδου στόχους – οι επιτιθέμενοι χρησιμοποιούν σε μεταγενέστερα στάδια της επίθεσης έναν εκτεταμένο μηχανισμό επικοινωνίας βασισμένο σε δορυφόρο, ο οποίος τους βοηθά να καλύψουν τα ίχνη τους.

Οι επικοινωνίες μέσω δορυφόρου είναι γνωστές κυρίως ως εργαλείο για την εκπομπή τηλεοπτικού σήματος και για ασφαλείς επικοινωνίες. Ωστόσο, χρησιμοποιούνται επίσης για να παρέχουν πρόσβαση στο Διαδίκτυο. Οι υπηρεσίες αυτές χρησιμοποιούνται κυρίως σε απομακρυσμένες περιοχές, όπου όλα τα άλλα είδη πρόσβασης στο Διαδίκτυο είτε είναι ασταθή και αργά ή δεν είναι διαθέσιμα σε όλους. Ένα από τα πιο διαδεδομένα και φθηνά είδη δορυφορικών συνδέσεων στο Διαδίκτυο είναι η λεγόμενη μονόδρομη δορυφορική σύνδεση, η οποία επιτρέπει μόνο downloading.

Σε αυτήν την περίπτωση, τα εξερχόμενα αιτήματα (uploading) από τον υπολογιστή ενός χρήστη κοινοποιούνται μέσω συμβατικών γραμμών (ενσύρματη ή GPRS σύνδεση), με όλη την εισερχόμενη κίνηση να προέρχεται από το δορυφόρο. Η τεχνολογία αυτή επιτρέπει στο χρήστη να έχει μια σχετικά γρήγορη ταχύτητα λήψης. Ωστόσο, διαθέτει ένα μεγάλο μειονέκτημα: το σύνολο της downstream κίνησης επιστρέφει στον υπολογιστή χωρίς κρυπτογράφηση. Κάθε κακόβουλος χρήστης που έχει στην κατοχή κατάλληλο και σχετικά φθηνό εξοπλισμό και λογισμικό θα μπορούσε απλά να παρακολουθήσει την κίνηση και να αποκτήσει πρόσβαση σε όλα τα δεδομένα που «κατεβάζουν» οι χρήστες των συνδέσεων αυτών.

Η ομάδα Turla εκμεταλλεύεται αυτή την αδυναμία με έναν διαφορετικό τρόπο, χρησιμοποιώντας τη για να αποκρύψει τη θέση των Command & Control (C&C) server της, που είναι από τα πιο σημαντικά μέρη της κακόβουλης υποδομής. Ο C&C server αποτελεί ουσιαστικά την «έδρα» του κακόβουλου λογισμικού που λειτουργεί στις στοχευμένες μηχανές. Η ανακάλυψη της θέσης ενός τέτοιου server μπορεί να οδηγήσει τους ερευνητές να ανακαλύψουν λεπτομέρειες για τον φορέα πίσω από μια επιχείρηση.

Είναι ενδιαφέρον το γεγονός ότι ο νόμιμος χρήστης του οποίου η διεύθυνση IP έχει χρησιμοποιηθεί από τους επιτιθέμενους για να λάβει δεδομένα από ένα «μολυσμένο» μηχάνημα, θα λάβει επίσης αυτά τα πακέτα δεδομένων, αλλά μόλις και μετά βίας θα τα παρατηρήσει. Αυτό συμβαίνει επειδή οι επιτιθέμενοι του Turla αναθέτουν σε «μολυσμένα» μηχανήματα την αποστολή δεδομένων σε θύρες που, στην πλειονότητα των περιπτώσεων, είναι κλειστές από προεπιλογή. Έτσι, ο υπολογιστής του νόμιμου χρήστη απλά θα απορρίψει αυτά τα πακέτα, ενώ ο C&C server του Turla, ο οποίος διατηρεί αυτές τις θύρες ανοιχτές, θα λαμβάνει και επεξεργάζεται τα «κλεμμένα» δεδομένα.

Ακόμα ένα ενδιαφέρον στοιχείο για τις τακτικές της ομάδας Turla είναι ότι τείνει να χρησιμοποιεί παρόχους δορυφορικής σύνδεσης στο Internet με έδρα τη Μέση Ανατολή και την Αφρική. Στην έρευνά τους, οι ειδικοί της Kaspersky Lab έχουν εντοπίσει την ομάδα Turla χρησιμοποιώντας διευθύνσεις IP παρόχων που βρίσκονταν σε χώρες όπως το Κονγκό, ο Λίβανος, η Λιβύη, ο Νίγηρας, η Νιγηρία, η Σομαλία ή τα Ηνωμένα Αραβικά Εμιράτα.

 

 

ΔΙΑΒΑΣΤΕ ΕΔΩ:

• Βροχές, καταιγίδα και...χαλάζι στο «μενού» - Πού αναμένεται να φτάσει η θερμοκρασία - Δείτε αναλυτικά

• Τον τσάκωσαν «φτιαγμένο»: Οδηγούσε και χωρίς άδεια οδηγού  - Συνελήφθη 34χρονος

• Τα ποσά και η χρηματοδότηση από Ε.Ε για ασυνόδευτα παιδιά – Η δέσμευση της Κύπρου μέσα από το Εθνικό Σχέδιο Δράσης

• Αντίστροφη μέτρηση για το e-kalathi: Πότε θα λειτουργήσει σε δοκιμαστική μορφή

• Πήγε να ταξιδέψει με πλαστή ταυτότητα, έσπρωξε Αστυνομικό και προσπάθησε να διαφύγει - Χειροπέδες σε 37χρονη

• Σοφία Βεργκάρα: Δίχνει πώς λικνίζονται οι Λατινοαμερικάνοι για το Thanksgiving - Βίντεο



Αίολη η αισιοδοξία για τη «διπλωματία του καφέ» -«Ναρκοθετεί» τα «ήρεμα νερά» η Άγκυρα

Αίολη η αισιοδοξία για τη «διπλωματία του καφέ» -«Ναρκοθετεί» τα «ήρεμα νερά» η Άγκυρα

Ενώ η Λευκωσία αναμένει στο ακουστικό για τα επόμενα βήματα στο κυπριακό και για τη σύγκληση της πενταμερούς συνάντησης, ο Τούρκος Υπουργός Εξωτερικών Χακάν Φιντάν, καταρρίπτει όλα όσα προσπαθεί η Αθήνα να παρουσιάσει το τελευταίο διάστημα μέσω του Έλληνα Υπουργού Εξωτερικών, Γιώργου Γεραπετρίτη περί ήρεμων νερών στις ελληνοτουρκικές σχέσεις, οι οποίες περνούν μέσα από το κυπριακό.

Ακολουθήστε το Tothemaonline.com στο Google News και μάθετε πρώτοι όλες τις ειδήσεις

 

 

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

Back to top