國家支持的黑客組織在盜竊數(shù)據(jù)時�����,最怕的就是被人定位到命令控制服務(wù)器,被切斷與目標機器的聯(lián)系����。于是,這伙講俄語的間諜黑客組織–圖拉(Turla)����,想到了一個絕妙的主意。
成都創(chuàng)新互聯(lián)專注于企業(yè)成都營銷網(wǎng)站建設(shè)�、網(wǎng)站重做改版、武鄉(xiāng)網(wǎng)站定制設(shè)計�����、自適應(yīng)品牌網(wǎng)站建設(shè)、H5頁面制作����、商城系統(tǒng)網(wǎng)站開發(fā)、集團公司官網(wǎng)建設(shè)���、外貿(mào)網(wǎng)站制作�����、高端網(wǎng)站制作��、響應(yīng)式網(wǎng)頁設(shè)計等建站業(yè)務(wù)�����,價格優(yōu)惠性價比高�,為武鄉(xiāng)等各大城市提供網(wǎng)站開發(fā)制作服務(wù)�。
他們劫持合法用戶的通信衛(wèi)星IP地址,然后用來盜取數(shù)據(jù)�,以隱藏他們的C2?��?ò退够难芯咳藛T發(fā)現(xiàn)���,至少從2007年開始�,圖拉就已經(jīng)使用這種隱蔽的技術(shù)了���。
圖拉是一個高度復(fù)雜的網(wǎng)絡(luò)間諜組織���,有可能背后為俄羅斯政府支持。十幾年來�,進行著目標為政府機構(gòu)�����、大使館和軍隊的網(wǎng)絡(luò)間諜活動����。全世界四十多個國家,都是其活動目標�����,包括哈薩克斯坦����、中國、越南和美國,尤其是東����、中歐國家。
圖拉使用各種方法和手段感染目標系統(tǒng)并盜取數(shù)據(jù)��,但最高端的莫屬于通過劫持衛(wèi)星鏈路來隱藏他們的命令控制服務(wù)器(C2)了��。
起初��,黑客通過多層代理來隱藏他們的服務(wù)器��。但這種方法并不保險����,還是有可能被追溯到服務(wù)器的提供方,然后被關(guān)閉并被做為司法證據(jù)���。
“C2是網(wǎng)絡(luò)犯罪或網(wǎng)絡(luò)間諜活動成敗攸關(guān)的核心�,因此隱藏服務(wù)器的物理地址對于他們來說非常的重要����。”
衛(wèi)星鏈路互聯(lián)網(wǎng)提供商覆蓋的地理區(qū)域要比普通互聯(lián)網(wǎng)提供商大的多���,可橫跨多個國家甚至是大洲��,因此追蹤使用衛(wèi)星IP地址的計算機難度非常之大��。
“實際上��,這種技術(shù)讓找到并關(guān)閉他們的命令服務(wù)器變得不可能��,”卡巴斯基安全研究人員塔納西認為��?!盁o論你使用多少層代理來隱藏服務(wù)器,調(diào)查人員只要持續(xù)追蹤下去�����,最終能找到真實的IP地址�,這只是一個時間問題�。但對于衛(wèi)星鏈路,幾乎是不可能的����。”
劫持衛(wèi)星鏈路的原理
衛(wèi)星互聯(lián)網(wǎng)連接并不算新技術(shù)����,已經(jīng)應(yīng)用了至少二十年���,在一些偏遠或沒有高速網(wǎng)絡(luò)連接的地區(qū)尤為普遍。
一種最為流行和成本最低的衛(wèi)星鏈路就是只限下行(downstream-only)��,主要用于更快的下載速度�����,因為衛(wèi)星連接傾向于提供比其他連接方法更大的帶寬�。從用戶計算機中出來的流量通過撥號或其他連接,從衛(wèi)星連接過來的流量直接進入用戶計算機�。因為,衛(wèi)星通信沒有加密�����,黑客可以架設(shè)天線來劫持數(shù)據(jù)����。圖拉就是利用這一點,來劫持并使用合法衛(wèi)星鏈路用戶的IP地址�����。
衛(wèi)星系統(tǒng)的一些漏洞早在2009年和2010年的黑帽大會上就有所披露,但圖拉的黑客更早����,他們從至少從2007年就開始使用這些漏洞來劫持衛(wèi)星鏈路了?���?ò退够l(fā)現(xiàn)了圖拉在2007年編譯的惡意軟件,其中包含兩個硬編碼的IP地址�����,其中一個屬于德國的衛(wèi)星互聯(lián)網(wǎng)服務(wù)提供商����。
要想使用被劫持的衛(wèi)星連接來盜取數(shù)據(jù),攻擊者首先要用包含硬編碼域名(命令控制服務(wù)器)在內(nèi)的惡意軟件感染目標計算機����,但黑客并沒有使用靜態(tài)IP地址�����,而是使用了動態(tài)DNS主機�,可允許他們?nèi)我飧淖僆P地址��。
接下來�����,攻擊者使用天線來拾取衛(wèi)星信號流量��,并收集合法衛(wèi)星用戶的IP地址�。受感染計算機上的惡意軟件會聯(lián)系到合法衛(wèi)星用戶的IP地址上����,并初始化TCPIP連接。但用戶的計算機會放棄這個連接�����,因為該次通信請求的目標不是用戶計算機��,而是攻擊者的命令控制服務(wù)器����。這樣,攻擊者的服務(wù)器就使用了一個合法衛(wèi)星用戶的IP地址建立了一個流量通道���,從目標計算機即受感染的計算機上盜取數(shù)據(jù)�。數(shù)據(jù)雖然會經(jīng)過合法衛(wèi)星用戶的系統(tǒng),但系統(tǒng)會將其丟棄����。
塔內(nèi)西表示,合法衛(wèi)星用戶并不會注意到他的衛(wèi)星鏈路被劫持����,除非他去檢測日志,并且發(fā)現(xiàn)被衛(wèi)星調(diào)制解調(diào)器丟棄的數(shù)據(jù)包�����?���!耙苍S會發(fā)現(xiàn)意外的請求,但很可能被認為是互聯(lián)網(wǎng)的信號噪聲����,”而不是可疑流量。
但是���,該方法并不能用于長期的盜取數(shù)據(jù)。因為���,衛(wèi)星互聯(lián)網(wǎng)連接是單向的����,非常不穩(wěn)定。而且����,合法用戶隨時還可能下線而導(dǎo)致攻擊者使用的IP失效。塔納西表示�����,這種方法僅見于針對最高端的目標��,其要求攻擊者高度的匿名性���,圖拉并不經(jīng)常使用�。
研究人員還發(fā)現(xiàn)���,雖然圖拉使用全世界的衛(wèi)星通信���,但主要在集中在兩個特定的區(qū)域–中東和非洲,如剛果、尼日利亞��、黎巴嫩�����、索馬里和阿聯(lián)酋����。
劫持過程很容易,成本也很低��。只需一個碟形衛(wèi)星天線��,一些電纜和一臺衛(wèi)星調(diào)制解調(diào)器�,總共花費約1000美元。
這并不是卡巴斯基首次發(fā)現(xiàn)黑客組織利用衛(wèi)星鏈路來維護他們的命令控制服務(wù)器��,之前的Hacking Team銷售給執(zhí)法部門和情報機關(guān)的工具中���,就包括了這種方法�����。而這種方法一旦被大量的網(wǎng)絡(luò)犯罪組織掌握并使用�,對于執(zhí)法部門和安全研究人員來說,再想像以前那樣找到并關(guān)閉作惡者的服務(wù)器��,無疑會變得非常困難�。
網(wǎng)站題目:俄羅斯間諜黑客組織圖拉劫持通信衛(wèi)星鏈路盜取數(shù)據(jù)
文章鏈接:
http://uogjgqi.cn/article/dghhidc.html
