Kiberkémkedést folytató csoportok eddigi leghatékonyabb, műholdas csatornát használó rejtőzködési módszerét leplezte le a Kaspersky Lab nevű moszkvai székhelyű nemzetközi kiberbiztonsági vállalat.
Stefan Tanase, a Kaspersky Lab vezető kutatója egy nemzetközi webkonferencián számolt be arról, hogy a cég szakemberei a Turla kiberkémkedési csoport tevékenységét vizsgálva fedezték fel a támadók fizikai helyzetének leplezését szolgáló eddigi leghatékonyabb módszert, a műholdas csatorna használatát.
A Turla egy orosz nyelvet használó kiberkémkedési csoport, amely működésének ismert nyolc éve alatt több mint ezer támadást hajtott végre a világ több mint negyven országában. Célpontjai állami intézmények, katonai szervezetek, oktatási és kutatási intézmények voltak.
A műholdas internetkapcsolat használatának célja a kibertámadások irányítását és vezérlését végző C&C (command and control) szerverek fellelésének ellehetetlenítése. A cél ezzel a módszerrel teljes mértékben meg is valósítható: a C&C szerverek a műhold sugárzási látóterében (footprint) bárhol lehetnek, miután a műhold által forgalmazott adatok mindenhol egyaránt foghatók.
A módszerhez igénybe vett szimplex (egyirányú) műholdas internetes technológia nem új, sőt már több mint húszéves – mutatott rá Stefan Tanase. A műholdról sugárzott adatok tulajdonképpen csak a letöltési sebesség gyorsítását szolgálják, “visszafelé” nincs adatforgalom. Ami pedig van, az hagyományos internetes csatornákon történik. A rendszert félreeső térségekben használják még ma is internetes kapcsolat biztosítására, például tengeri fúrótornyokon, illetve civilizációtól távol eső egyéb térségekben.
A kiberkémkedést folytató csoport úgy tesz szert műholdas adatátviteli csatornára – mondta el a Kaspersky szakembere, hogy “belehallgat” a műhold titkosítatlan adásába és a csatornát használó ártatlan, mit sem sejtő felhasználók IP címét átvéve maga is adatforgalmazásba kezd. A Turla csoport előszeretettel használja afrikai országok IP címeit – mondta. Mindehhez alig ezer dollárnyi eszközbefektetésre van szükség.
A megoldás hátulütője, hogy a kommunikációs csatornát “meglovagoló” fél ki van szolgáltatva annak a számítógépnek, amelynek forgalmán úgymond “élősködik”. A Kaspersky megfigyelései szerint a megoldást, mivel időben és adatmennyiségben megbízhatatlan, csak rövid ideig tartó, fontos műveletekre, behatolásokra, gépek megfertőzésére használják. Az az előny viszont, hogy a C&C szerverek földrajzi helyzetének bemérését teljesen lehetetlenné teszi, a módszer minden hátrányát ellentételezi. Kiberkémkedési csoportok számára ez mindennél fontosabb szempont.
A Kaspersky a Turla mellett még három olyan APT-t (Advanced Persistent Threat), azaz kiberkémkedési csoportot azonosított be, amely használja ezt a megoldást. A legfejlettebb közülük azonban a Turla.
