Вы когда-нибудь смотрели спутниковое телевидение? Удивлялись многообразию доступных телевизионных каналов и радиостанций? Задумывались над тем, как работают спутниковые телефоны и спутниковые интернет-каналы? А что если мы вам скажем, что спутниковые интернет-каналы – это не только развлечения, информация о ситуации на дорогах и погоде, но и многое-многое другое?
APT-группировкам приходится решать множество проблем. И, наверное, самой большой из них являются частые изъятия и отключения доменов и командных серверов. То и дело серверы конфискуются правоохранительными органами, их также могут закрыть интернет-провайдеры. Иногда эти серверы используют для определения физического местонахождения злоумышленников.
Наиболее продвинутые преступные группировки и пользователи коммерческих инструментов взлома решили проблему отключения серверов, перейдя на использование спутниковых интернет-каналов. Мы уже обнаружили три разные группировки, использующие спутниковые каналы доступа для маскировки своих кампаний. Самой интересной и необычной из них является Turla.
Группировка Turla, которую также называют Snake или Uroburos (по имени ее первоклассного руткита), занимается кибершпионажем уже более 8 лет. Кампаниям этой группировки было посвящено несколько статей, но до публикации «Лабораторией Касперского» исследования «» мало что было известно об особенностях этих кампаний, например, о первых стадиях заражения в результате атаки типа watering-hole.
Группировку Turla отличает не только сложность инструментария, который включает в себя руткит Uroboros (он же Snake) и механизмы обхода «воздушных зазоров» через многоуровневые прокси-серверы в локальных сетях, но и хитроумный механизм спутниковых командных серверов, используемый на последних этапах атаки.
В этой статье мы хотим пролить свет на механизмы спутниковых командных серверов, которые APT-группировки типа Turla/Snake используют для управления особо ценными жертвами. Поскольку эти механизмы приобретают все большую популярность, системные администраторы должны выработать правильную стратегию защиты от такого рода атак. См. индикаторы заражения (IOCs) в приложении.
Turla и спутниковый интернет: управление APT-атаками в небеТехнические особенности
Начиная с 2007 года наиболее продвинутые APT-группировки, к которым относится и Turla, злонамеренно, хоть и относительно редко, используют спутниковые каналы связи для управления своими кампаниями – чаще всего инфраструктурой командных серверов. Такой способ дает некоторые преимущества (например, затрудняет идентификацию операторов, стоящих за атакой), но при этом создает для злоумышленников определенные риски.
С одной стороны, эти преимущества важны, так как фактическое местонахождение и оборудование командного сервера можно легко вычислить и физически конфисковать. Спутниковый же приемник может находиться в любом месте зоны покрытия спутника, а она обычно довольно велика. Метод, используемый группировкой Turla для взлома нисходящих каналов, анонимен и не требует подписки на спутниковый интернет.
С другой стороны, недостатком является низкая скорость и нестабильность работы спутникового интернета.
Сначала мы и другие исследователи не могли понять, арендуют ли злоумышленники коммерческие спутниковые интернет-каналы или взламывают интернет-провайдеров и проводят MitM-атаки (атаки типа «человек посередине») на уровне маршрутизатора для перехвата потока. Мы проанализировали эти механизмы и пришли к поразительному выводу: метод, используемый группировкой Turla, невероятно прост и прямолинеен. При этом он обеспечивает анонимность, очень дешевую реализацию и управление.
Реальные каналы, MitM-атаки или взлом BGP?
Одним из способов, к которому могут прибегнуть APT-группировки для защиты трафика своих командных серверов, является аренда спутниковых интернет-каналов. Однако дуплексные спутниковые каналы очень дороги: простой дуплексный спутниковый канал со скоростью 1 Мбит/с в обоих направлениях может стоить до 7000 долл. США в неделю. Цена может быть значительно ниже в случае заключения долгосрочных договоров, однако полоса пропускания по-прежнему будет обходиться дорого.
Другим способом попадания командного сервера в диапазон IP-адресов спутникового интернета является перехват сетевого трафика между жертвой и оператором спутниковой связи и внедрение своих пакетов. Для этого потребуется эксплуатировать уязвимости оператора спутниковой связи или другого интернет-провайдера на маршруте.
Эти способы взлома уже встречались ранее и в ноябре 2013 г. были компании Renesys (которая сейчас вошла в состав компании Dyn).
Из блога Renesys: «Были взломаны BGP-маршруты различных провайдеров, в результате чего часть их интернет-трафика была неверно направлена через белорусских и исландских интернет-провайдеров. В нашем распоряжении имеются данные BGP-маршрутизации, которые посекундно показывают развитие 21 события в Белоруссии в феврале и мае 2013 г. и 17 событий в Исландии в июле-августе 2013 г.»
В в блоге компании Dyn 2015 г. исследователи отмечают: «Для специалистов по безопасности, анализирующих журналы регистрации предупреждений, важно понимать, что IP-адреса, идентифицированные как источники инцидентов, могут быть подменены и регулярно подменяются. Например, за атакой, которая якобы ведется с IP-адреса компании Comcast в Нью-Джерси, на самом деле может стоять взломщик из Восточной Европы, на короткое время захвативший пространство IP-адресов Comcast. Интересно отметить, что во всех шести рассмотренных случаях атаки велись из Европы или России».
Очевидно, что такие явные крупномасштабные атаки не могут быть длительными, а это – одно из основных условий APT-кампаний. Поэтому MitM-атака посредством перехвата трафика маловероятна, если только злоумышленники не контролируют напрямую некоторые точки сети с большой пропускной способностью, например, магистральные маршрутизаторы или волоконную оптику. Судя по некоторым признакам, атаки такого рода постепенно приобретают все большее распространение, однако существует намного более простой способ перехвата спутникового интернет-трафика.
Взлом спутникового канала стандарта DVB-S
О взломе спутниковых каналов стандарта DVB-S писали уже несколько раз, а на конференции BlackHat 2010 исследователь компании S21Sec Leonardo Nve Egea , посвященной взлому спутниковых каналов DVB.
Для взлома спутниковых каналов DVB-S требуется:
Плата PCIe TBS-6922SE для приема каналов в стандарте DVB-S
Плата TBS особенно подходит для этой задачи, так как имеет специальные драйверы режима ядра Linux и поддерживает функцию сканирования brute-force (брутфорс), которая позволяет проверять широкие диапазоны частот на наличие интересующих сигналов. Можно, конечно, использовать и другие платы PCI или PCIe, но USB-плат следует избегать, так как в большинстве случаев они не обеспечивают нужного качества.
В отличие от дуплексного спутникового интернета нисходящие интернет-каналы используют для ускорения скачивания; они отличаются дешевизной и простотой установки. При этом каналы изначально не защищены и не используют шифрование для обфускации трафика. Это создает возможности для злонамеренного использования.
Компании, предоставляющие нисходящие интернет-каналы, используют телепорты для передачи трафика на спутник. Спутник передает трафик в определенные зоны на земле в Ku-диапазоне (12-18 ГГц) путем маршрутизации определенных IP-классов через телепорты.
Как взломать спутниковый интернет?
При атаке на спутниковые интернет-каналы тарелки законных пользователей и злоумышленников направлены на определенный спутник, передающий трафик. Злоумышленники пользуются тем, что пакеты не зашифрованы. После определения IP-адреса, на который маршрутизируется трафик через нисходящий спутниковый канал, злоумышленники начинают прослушивать сеть в ожидании пакетов, передаваемых через интернет на этот IP-адрес. При обнаружении такого пакета (например, TCP/IP SYN) они идентифицируют источник и передают ему подмененный ответный пакет (например, SYN ACK) через обычную линию интернета.
При этом законный пользователь канала просто игнорирует этот пакет, так как он приходит на закрытый порт (например, 80 или 10080). Здесь следует сделать важное замечание: обычно при поступлении пакета на закрытый порт источнику отвечают пакетом RST или FIN, давая понять, что пакет не ждут. Однако для медленных каналов рекомендуется использовать брандмауэры, которые просто ОТБРАСЫВАЮТ пакеты, предназначенные для закрытых портов. Это создает возможность для злонамеренного использования.
Злонамеренно используемые диапазоны IP-адресов
В ходе анализа мы обнаружили, что злоумышленники из группировки Turla использовали нескольких провайдеров спутникового интернета стандарта DVB-S, которые в большинстве своем предоставляли нисходящие интернет-каналы для Ближнего Востока и Африки. Интересно отметить, что в зону покрытия этих лучей не входят Европа и Азия. Это означает, что тарелка должна быть установлена на Ближнем Востоке или в Африке. Тарелка может быть установлена и в других зонах, но тогда она должна быть гораздо больше, от 3 м в диаметре, для усиления сигнала.
Для расчета размера тарелки можно использовать различные инструменты, включая онлайн-ресурсы, например, satbeams.com:
Выводы
Интересной особенностью кампаний группировки Turla является регулярное использование спутниковых интернет-каналов. Эти каналы действуют не более нескольких месяцев. Пока неясно, связано ли это с ограничениями, наложенными самой группировкой из соображений оперативной безопасности, или вызвано отключением канала другими лицами в результате злонамеренного поведения.
Технический метод, применяемый для создания этих интернет-каналов, основывается на взломе полосы частот нисходящих каналов различных интернет-провайдеров и подмене пакетов. Этот метод легко реализуется и обеспечивает более высокий уровень анонимности, чем любые обычные способы, такие как аренда виртуального выделенного сервера (VPS) или взлом легального сервера.
Начальные инвестиции на реализацию этого метода атаки составляют менее 1000 долларов, а затраты на текущее обслуживание – менее 1000 долларов в год. Учитывая простоту и дешевизну метода, остается только удивляться, что его не используют другие APT-группировки. Хотя этот метод и обеспечивает беспрецедентный уровень анонимности, по логистическим причинам проще положиться на абузоустойчивый хостинг, несколько уровней прокси или взломанные веб-сайты. На самом деле группировка Turla использует все эти методы, поэтому ее кампании кибершпионажа являются такими универсальными, динамичными и гибкими.
В заключение следует отметить, что Turla – не единственная APT-группировка, использующая спутниковые интернет-каналы. На IP-адресах спутникового интернета были замечены командные серверы группировок HackingTeam и Xumuxu, а в последнее время также APT-группировка Rocket Kitten.
Если данный метод получит широкое распространение среди APT-группировок или, что еще хуже, киберпреступных группировок, это создаст серьезную проблему для специалистов по IT-безопасности и органов контрразведки.
APT-группировкам приходится решать множество проблем. И, наверное, самой большой из них являются частые изъятия и отключения доменов и командных серверов. То и дело серверы конфискуются правоохранительными органами, их также могут закрыть интернет-провайдеры. Иногда эти серверы используют для определения физического местонахождения злоумышленников.
Наиболее продвинутые преступные группировки и пользователи коммерческих инструментов взлома решили проблему отключения серверов, перейдя на использование спутниковых интернет-каналов. Мы уже обнаружили три разные группировки, использующие спутниковые каналы доступа для маскировки своих кампаний. Самой интересной и необычной из них является Turla.
Группировка Turla, которую также называют Snake или Uroburos (по имени ее первоклассного руткита), занимается кибершпионажем уже более 8 лет. Кампаниям этой группировки было посвящено несколько статей, но до публикации «Лабораторией Касперского» исследования «» мало что было известно об особенностях этих кампаний, например, о первых стадиях заражения в результате атаки типа watering-hole.
Группировку Turla отличает не только сложность инструментария, который включает в себя руткит Uroboros (он же Snake) и механизмы обхода «воздушных зазоров» через многоуровневые прокси-серверы в локальных сетях, но и хитроумный механизм спутниковых командных серверов, используемый на последних этапах атаки.
В этой статье мы хотим пролить свет на механизмы спутниковых командных серверов, которые APT-группировки типа Turla/Snake используют для управления особо ценными жертвами. Поскольку эти механизмы приобретают все большую популярность, системные администраторы должны выработать правильную стратегию защиты от такого рода атак. См. индикаторы заражения (IOCs) в приложении.
Turla и спутниковый интернет: управление APT-атаками в небеТехнические особенности
Начиная с 2007 года наиболее продвинутые APT-группировки, к которым относится и Turla, злонамеренно, хоть и относительно редко, используют спутниковые каналы связи для управления своими кампаниями – чаще всего инфраструктурой командных серверов. Такой способ дает некоторые преимущества (например, затрудняет идентификацию операторов, стоящих за атакой), но при этом создает для злоумышленников определенные риски.
С одной стороны, эти преимущества важны, так как фактическое местонахождение и оборудование командного сервера можно легко вычислить и физически конфисковать. Спутниковый же приемник может находиться в любом месте зоны покрытия спутника, а она обычно довольно велика. Метод, используемый группировкой Turla для взлома нисходящих каналов, анонимен и не требует подписки на спутниковый интернет.
С другой стороны, недостатком является низкая скорость и нестабильность работы спутникового интернета.
Сначала мы и другие исследователи не могли понять, арендуют ли злоумышленники коммерческие спутниковые интернет-каналы или взламывают интернет-провайдеров и проводят MitM-атаки (атаки типа «человек посередине») на уровне маршрутизатора для перехвата потока. Мы проанализировали эти механизмы и пришли к поразительному выводу: метод, используемый группировкой Turla, невероятно прост и прямолинеен. При этом он обеспечивает анонимность, очень дешевую реализацию и управление.
Реальные каналы, MitM-атаки или взлом BGP?
Одним из способов, к которому могут прибегнуть APT-группировки для защиты трафика своих командных серверов, является аренда спутниковых интернет-каналов. Однако дуплексные спутниковые каналы очень дороги: простой дуплексный спутниковый канал со скоростью 1 Мбит/с в обоих направлениях может стоить до 7000 долл. США в неделю. Цена может быть значительно ниже в случае заключения долгосрочных договоров, однако полоса пропускания по-прежнему будет обходиться дорого.
Другим способом попадания командного сервера в диапазон IP-адресов спутникового интернета является перехват сетевого трафика между жертвой и оператором спутниковой связи и внедрение своих пакетов. Для этого потребуется эксплуатировать уязвимости оператора спутниковой связи или другого интернет-провайдера на маршруте.
Эти способы взлома уже встречались ранее и в ноябре 2013 г. были компании Renesys (которая сейчас вошла в состав компании Dyn).
Из блога Renesys: «Были взломаны BGP-маршруты различных провайдеров, в результате чего часть их интернет-трафика была неверно направлена через белорусских и исландских интернет-провайдеров. В нашем распоряжении имеются данные BGP-маршрутизации, которые посекундно показывают развитие 21 события в Белоруссии в феврале и мае 2013 г. и 17 событий в Исландии в июле-августе 2013 г.»
В в блоге компании Dyn 2015 г. исследователи отмечают: «Для специалистов по безопасности, анализирующих журналы регистрации предупреждений, важно понимать, что IP-адреса, идентифицированные как источники инцидентов, могут быть подменены и регулярно подменяются. Например, за атакой, которая якобы ведется с IP-адреса компании Comcast в Нью-Джерси, на самом деле может стоять взломщик из Восточной Европы, на короткое время захвативший пространство IP-адресов Comcast. Интересно отметить, что во всех шести рассмотренных случаях атаки велись из Европы или России».
Очевидно, что такие явные крупномасштабные атаки не могут быть длительными, а это – одно из основных условий APT-кампаний. Поэтому MitM-атака посредством перехвата трафика маловероятна, если только злоумышленники не контролируют напрямую некоторые точки сети с большой пропускной способностью, например, магистральные маршрутизаторы или волоконную оптику. Судя по некоторым признакам, атаки такого рода постепенно приобретают все большее распространение, однако существует намного более простой способ перехвата спутникового интернет-трафика.
Взлом спутникового канала стандарта DVB-S
О взломе спутниковых каналов стандарта DVB-S писали уже несколько раз, а на конференции BlackHat 2010 исследователь компании S21Sec Leonardo Nve Egea , посвященной взлому спутниковых каналов DVB.
Для взлома спутниковых каналов DVB-S требуется:
- спутниковая тарелка, размер которой зависит от географического положения и конкретного спутника
- спутниковый конвертер (LNB)
- специальный спутниковый DVB-S тюнер (плата PCIe)
- ПК, желательно работающий под управлением Linux
Плата PCIe TBS-6922SE для приема каналов в стандарте DVB-S
Плата TBS особенно подходит для этой задачи, так как имеет специальные драйверы режима ядра Linux и поддерживает функцию сканирования brute-force (брутфорс), которая позволяет проверять широкие диапазоны частот на наличие интересующих сигналов. Можно, конечно, использовать и другие платы PCI или PCIe, но USB-плат следует избегать, так как в большинстве случаев они не обеспечивают нужного качества.
В отличие от дуплексного спутникового интернета нисходящие интернет-каналы используют для ускорения скачивания; они отличаются дешевизной и простотой установки. При этом каналы изначально не защищены и не используют шифрование для обфускации трафика. Это создает возможности для злонамеренного использования.
Компании, предоставляющие нисходящие интернет-каналы, используют телепорты для передачи трафика на спутник. Спутник передает трафик в определенные зоны на земле в Ku-диапазоне (12-18 ГГц) путем маршрутизации определенных IP-классов через телепорты.
Как взломать спутниковый интернет?
При атаке на спутниковые интернет-каналы тарелки законных пользователей и злоумышленников направлены на определенный спутник, передающий трафик. Злоумышленники пользуются тем, что пакеты не зашифрованы. После определения IP-адреса, на который маршрутизируется трафик через нисходящий спутниковый канал, злоумышленники начинают прослушивать сеть в ожидании пакетов, передаваемых через интернет на этот IP-адрес. При обнаружении такого пакета (например, TCP/IP SYN) они идентифицируют источник и передают ему подмененный ответный пакет (например, SYN ACK) через обычную линию интернета.
При этом законный пользователь канала просто игнорирует этот пакет, так как он приходит на закрытый порт (например, 80 или 10080). Здесь следует сделать важное замечание: обычно при поступлении пакета на закрытый порт источнику отвечают пакетом RST или FIN, давая понять, что пакет не ждут. Однако для медленных каналов рекомендуется использовать брандмауэры, которые просто ОТБРАСЫВАЮТ пакеты, предназначенные для закрытых портов. Это создает возможность для злонамеренного использования.
Злонамеренно используемые диапазоны IP-адресов
В ходе анализа мы обнаружили, что злоумышленники из группировки Turla использовали нескольких провайдеров спутникового интернета стандарта DVB-S, которые в большинстве своем предоставляли нисходящие интернет-каналы для Ближнего Востока и Африки. Интересно отметить, что в зону покрытия этих лучей не входят Европа и Азия. Это означает, что тарелка должна быть установлена на Ближнем Востоке или в Африке. Тарелка может быть установлена и в других зонах, но тогда она должна быть гораздо больше, от 3 м в диаметре, для усиления сигнала.
Для расчета размера тарелки можно использовать различные инструменты, включая онлайн-ресурсы, например, satbeams.com:
Выводы
Интересной особенностью кампаний группировки Turla является регулярное использование спутниковых интернет-каналов. Эти каналы действуют не более нескольких месяцев. Пока неясно, связано ли это с ограничениями, наложенными самой группировкой из соображений оперативной безопасности, или вызвано отключением канала другими лицами в результате злонамеренного поведения.
Технический метод, применяемый для создания этих интернет-каналов, основывается на взломе полосы частот нисходящих каналов различных интернет-провайдеров и подмене пакетов. Этот метод легко реализуется и обеспечивает более высокий уровень анонимности, чем любые обычные способы, такие как аренда виртуального выделенного сервера (VPS) или взлом легального сервера.
Начальные инвестиции на реализацию этого метода атаки составляют менее 1000 долларов, а затраты на текущее обслуживание – менее 1000 долларов в год. Учитывая простоту и дешевизну метода, остается только удивляться, что его не используют другие APT-группировки. Хотя этот метод и обеспечивает беспрецедентный уровень анонимности, по логистическим причинам проще положиться на абузоустойчивый хостинг, несколько уровней прокси или взломанные веб-сайты. На самом деле группировка Turla использует все эти методы, поэтому ее кампании кибершпионажа являются такими универсальными, динамичными и гибкими.
В заключение следует отметить, что Turla – не единственная APT-группировка, использующая спутниковые интернет-каналы. На IP-адресах спутникового интернета были замечены командные серверы группировок HackingTeam и Xumuxu, а в последнее время также APT-группировка Rocket Kitten.
Если данный метод получит широкое распространение среди APT-группировок или, что еще хуже, киберпреступных группировок, это создаст серьезную проблему для специалистов по IT-безопасности и органов контрразведки.
