如果你是一个由国家资助的从目标计算机窃取数据的黑客,你想要实现的最后一件事,就是有人来定位你指挥和控制的服务器,并且关掉它,停止你能够与被感染的机器通信以及窃取数据的能力。
所以“Turla”知名的与俄国有密切联系的犯罪团伙,找到了解决这种事的方法——劫持合法用户的卫星IP地址,并且使用他们来从其他被感染的机器上窃取数据,这在某种程度上隐藏了他们的命令服务器。卡巴斯基实验室的研究人员已经有证据表明,至少从2007年开始Turla 犯罪团伙已在使用该种技术。
Turla是一个复杂的网络间谍活动组,被认为是由俄罗斯政府发起的,该组织已经有超过10年时间有目的的针对,包括哈萨克斯坦,中国,越南和美国在内的等40个国家的相关政府机构,大使馆和军队,特别是前东欧集团国家。根据卡巴斯基研究人员的研究结果显示,Turla组织使用了许多技巧来感染系统,窃取数据,但它针对的一些最引人注目的目标,该集团似乎使用基于卫星的通信技术来帮助他们隐藏命令服务器的位置。
一般情况下,黑客会租用或破解一个服务器作为一个指挥台使用,有时是通过多个代理服务器来进行他们的活动,达到隐藏命令服务器位置的目的。但是,这些命令和控制服务器仍然可以追溯到其托管供应商,并被检验采集取证。
卡巴斯基高级安全研究员Tanase指出:"当涉及到网络犯罪和间谍活动的时候,这些被指挥和控制的(C&C)服务器是最容易致使行动失败的中心点。所以对他来说隐藏命令服务器的物理位置是十分重要的."
因此,Turla组织所采用的的方法被Tanase称叹“细致完美”,因为它能够使攻击者在那些将会取证抓捕他们的研究人员和执法机面前,隐藏他们的命令服务器。网络卫星服务供应商比标准的互联网服务提供商所提供的卫星覆盖范围更宽广,卫星覆盖范围可以延长1000多英里,跨越多个国家甚至大洲——所以跟踪使用卫星IP地址的计算机的位置可能会更困难。
Tanase说,这项技术基本上不可能有人能够关闭或查找到他们的命令服务器。不管你用多少级别的代理来隐藏自己的服务器,坚持不懈的的调查者们都能查找到最终的IP地址,直到你被发现,这只是一个时间问题。但是,通过使用该卫星链路,它几乎是不可能被发现的。
它是怎么运行??
卫星互联网连接是一个老派的技术,已经使用了至少二十年。这种技术方法在偏远地区很流行,在这些偏远地区或者没有高速公路连通的地区,其他的联络方法是不可行的,只能通过卫星联络。
其中一个最普遍和最便宜的卫星联络方式是downstream-only,自从卫星链路趋向于提供比其他联络方式更大的带宽,这种方式有时能够让人们用更快的下载速度下载东西。当用户电脑的流量通过拨号或其他的联络方式时,那些流量通过卫星的链路。因为这个卫星通信是没有加密的,黑客可以在天线通信中拦截数据,Turla组织的黑客们,确定一个合法的卫星用户的IP地址来进行劫持。
这样的卫星系统漏洞2009年(PDF格式)和2010年(PDF格式)在黑帽安全大会上被公开。但至少 从2007年起,Turla组织似乎已经开始利用这个“薄弱点”进行卫星链路劫持。那一年,卡巴斯基研究人员已经发现了该组织编译的一个恶意软件的样本。该恶意软件样本中有为命令服务器提供联络的两个加密编译的IP地址——其中一个地址属于一个德国卫星互联网服务提供商通信的IP地址。
为了给机密数据使用一个被劫持的卫星通信连接,攻击者首先用恶意软件感染一个目标电脑,包含它的命令服务器硬编码的域名。但尽管域名使用的是静态的IP地址,黑客们会使用所谓的动态DNS主机,这使得他们能够给一个域名改变IP地址。
然后,攻击者使用天线来接收本地区的卫星通信,并收集属于合法卫星用户的地址列表。然后,他可以使用其中一个卫星的IP地址来配置他的命令服务器的域名。在被感染计算机上的恶意软件将连接合法卫星网络用户的IP地址,以此来发起一个TCP IP连接。但是,由于不是特定为用户的机器进行的通信,用户的机器将会断开连接。但是,同样的要求也会发送给正在使用相同IP地址的,攻击者的命令和控制的计算机,这将会反馈给被感染的机器,并且建立一个通信通道来接受来自被感染的机器的数据。任何从被感染的机器获取的数据,也将会发送到无辜的使用者的系统中,但系统只会把简单的把这些数据丢弃。
塔纳斯(Tanase)说合法卫星用户不会注意到他的卫星连接被劫持,除非他检查他的日志文件并且发现数据包都被他的卫星调制解调器丢了。“他将会看到一些他没有进行请求的请求, “塔纳斯说。“但它只是看起来像网络噪音,”而不是可疑的通信。
该方法对于长期的数据泄露是不可靠的,因为这些卫星的互联网连接是单向的,并且是非常不可靠的。一旦无辜的用户,其网络ip地址被劫持致离线,攻击者也会与失去卫星的连接 “这就是为什么我们认为他们只将该种方法使用在最引人注目的目标上。”Tanase说,“当匿名是必不可少的时候。我们无法知道是否在一直使用他们。”
研究人员发现Turla集团的黑客们通过卫星连接进行世界各地的交流,但他们的大部分活动集中在两个特定区域。Tanase说“他们似乎偏爱于使用IP范围分布在中东和非洲地区–刚果,黎巴嫩,尼日利亚,索马里,和阿联酋的供应商”。
而且,完成劫持并不是很昂贵。它所需要的仅是一个卫星天线,一些电缆和一个卫星调制解调器,所有的费用约为1000美元。
这已经不是第一次卡巴斯基的研究人员们看到那些集团通过卫星连接命令服务器。Tanase表示,Hacking Team,总部设在意大利向执法机构销售监控工具和情报机构的团队,也已经使用卫星IP地址来命令和控制其通信服务器。但在这些情况下,互联网连接似乎已经被Hacking Team的执法用户购买。Turla集团已经使用许多不同的卫星IP地址, Tanase说这很明显他们在劫持合法用户。
Tanase表示,如果这项技术在未来被犯罪团伙采用,将会使得执法机构和研究人员追踪命令服务器并且关闭它们更加困难。
,
