| 0 |
|
«Лаборатория Касперского» выяснила, что группировка, стоящая за сложной и масштабной кампанией кибершпионажа Turla, использует уязвимость в глобальных спутниковых сетях для сокрытия физического местоположения серверов управления зараженными ПК.
«Односторонний» спутниковый Интернет обычно используется в географически удаленных населенных пунктах, где другие виды подключения к Сети либо отсутствуют, либо очень дороги и медленны. При использовании одностороннего соединения пользователь отправляет свой запрос через наземный канал (кабель или GPRS), а ответ ему приходит через спутник. Интернет-контент в этом случае грузится сравнительно быстро, но вот только передается он в незашифрованном виде. А это значит, что любой, имея недорогое оборудование и ПО, может легко перехватить трафик и получить доступ ко всем данным, которые загружает пользователь.
Именно этой «лазейкой» и воспользовалась Turla для того, чтобы скрыть местоположение своих серверов. Технически этот процесс выглядит так: сначала атакующие «слушают» трафик, исходящий от спутника, чтобы определить, какие пользователи, точнее IP-адреса, в настоящее время онлайн. Потом они выбирают тот IP-адрес, который будут использовать для маскировки своего сервера. После этого они направляют зараженным Turla компьютерам команды на отправку данных на выбранный адрес. Данные при этом проходят через традиционные каналы к оператору спутникового Интернета, а затем через спутник попадают к ничего не подозревающему пользователю.
Сам пользователь вряд ли заметит, что помимо запрашиваемого контента он получил что-то еще. Обычно организаторы Turla «инструктируют» зараженные компьютеры отправлять данные в те порты компьютера, которые по умолчанию закрыты. Откроет их тот самый командно-контрольный сервер, и пакеты с данными, таким образом, перейдут на него.
Как выяснила «Лаборатория Касперского», кибергруппировка использует в основном провайдеров, работающих на Ближнем Востоке и в Африке, атакующие отправляли данные на IP-адреса из Афганистана, Ливана, Конго, Ливии, Нигера, Нигерии, Сомали и Замбии. Спутники, работающие в этом регионе, чаще всего не покрывают страны Европы и Северной Америки, делая расследование этих атак экспертами по безопасности, находящимися вне региона, невозможным.
За этими операциями Turla, предположительно, стоят русскоязычные организаторы. К настоящему моменту от этой кампании кибершпионажа пострадали сотни пользователей в более чем 45 странах, в частности правительственные и дипломатические учреждения, военные, образовательные, исследовательские организации, а также фармацевтические компании. Среди лидеров по наибольшему числу атак, зарегистрированных компанией в последнее время, такие страны, как Казахстан, Россия, США, Китай и Вьетнам.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
