间谍新高度:间谍组织​Turla利用卫星通信隐藏C&C服务器

间谍新高度:间谍组织​Turla利用卫星通信隐藏C&C服务器

Turla APT组织,也被称为Snake或者Uroboros,是至今为止最为高级的威胁组织之一。该网络间谍组织已经存在长达8年的时间了,却很少被人知道。

卡巴斯基实验室也是去年才发现Turla APT组织,该组织成员均说俄语,并且还发现其利用卫星通信中固有的安全缺陷来隐藏自己的位置和实施间谍活动。

FreeBuf百科:卫星通信

卫星通信主要应用在一些网络不稳定、网速过慢或者没有网络的偏远地区。其中最普遍、最便宜的卫星网络是通过所谓的仅下游(downstream-only)连接的。用户PC端的请求会通过常规线路(有线或者GPRS连接)进行通信,且所有流入的流量均来自卫星。

如此一来,用户就可获得一个相对较快的下载速度。从安全角度来看,卫星通信的最大缺点就是返回PC端的流量是非加密的,导致任何用户均可劫持这些流量。

Turla组织利用卫星通信中固有的安全缺陷隐藏C&C服务器的位置和控制中心。我们都知道,一旦C&C服务器的位置暴露,幕后恶意操作的黑手就会很容易被发现,所以Turla组织才会努力地去隐藏C&C服务器位置。

卫星链接(DVB-S)劫持

在劫持卫星DVB-S链接之前,需要具备以下设备:

1.卫星天线(大小取决于地理位置和卫星)  2.低噪声块下变频器(LNB)  3.专用的DVB-S调制器(PCIe卡,建议使用TBS Technologies公司的TBS-6922SE)  4.电脑(最好是Linux系统的)

间谍新高度:间谍组织​Turla利用卫星通信隐藏C&C服务器

DVB-S调制器

执行卫星网络劫持工作

为了攻击卫星网络链接,无论是卫星链接的合法用户还是攻击者自身的卫星天线都要指向特定的用于广播流量的卫星。攻击者会滥用卫星网络流量明文传输这一缺陷,具体的方式如下:

间谍新高度:间谍组织​Turla利用卫星通信隐藏C&C服务器

1. 通过监听卫星中的downstream来识别卫星网络用户的IP地址;  2. 然后在用户不知情的情况下选择一个IP地址来掩盖其C&C服务器真实IP地址;  3. 被Turla感染的设备会收到一个指令:发送所有数据到被选中的IP地址上。数据先通过常规路径发送到卫星系统,然后再由卫星系统发送给选中IP地址的用户;  4. 合法用户会以垃圾的方式将这些数据丢掉,但威胁操作者会从下游卫星链接处重新收集起这些数据。

攻击范围极广,中国也在之列

因为卫星通信的覆盖范围非常广,所以很难追踪到威胁操作者的具体位置。被Turla组织利用的卫星网络大多是位于中东和非洲的国家,如刚果、黎巴嫩、利比亚、尼泊尔、索马里和阿拉伯联合酋长国。

间谍新高度:间谍组织​Turla利用卫星通信隐藏C&C服务器

目前为止,Turla APT组织已经成功入侵了全球45个国家近百个电脑系统。Turla攻击的国家包括哈萨克斯坦、俄罗斯、中国、越南、美国等,入侵的行业有政府机构、大使馆、军事、教育、科研、制药公司等。

间谍新高度:间谍组织​Turla利用卫星通信隐藏C&C服务器

被入侵的相关指标

IP:

84.11.79.6  41.190.233.29  62.243.189.187  62.243.189.215  62.243.189.231  77.246.71.10  77.246.76.19  77.73.187.223  82.146.166.56  82.146.166.62  82.146.174.58  83.229.75.141  92.62.218.99  92.62.219.172  92.62.220.170  92.62.221.30  92.62.221.38  209.239.79.121  209.239.79.125  209.239.79.15  209.239.79.152  209.239.79.33  209.239.79.35  209.239.79.47  209.239.79.52  209.239.79.55  209.239.79.69  209.239.82.7  209.239.85.240  209.239.89.100  217.194.150.31  217.20.242.22  217.20.243.37

主机名:

accessdest.strangled[.]net  bookstore.strangled[.]net  bug.ignorelist[.]com  cars-online.zapto[.]org  chinafood.chickenkiller[.]com  coldriver.strangled[.]net  developarea.mooo[.]com  downtown.crabdance[.]com  easport-news.publicvm[.]com  eurovision.chickenkiller[.]com  fifa-rules.25u[.]com  forum.sytes[.]net  goldenroade.strangled[.]net  greateplan.ocry[.]com  health-everyday.faqserv[.]com  highhills.ignorelist[.]com  hockey-news.servehttp[.]com  industrywork.mooo[.]com  leagueoflegends.servequake[.]com  marketplace.servehttp[.]com  mediahistory.linkpc[.]net  music-world.servemp3[.]com  new-book.linkpc[.]net  newgame.2waky[.]com  newutils.3utilities[.]com  nhl-blog.servegame[.]com  nightstreet.toh[.]info  olympik-blog.4dq[.]com  onlineshop.sellclassics[.]com  pressforum.serveblog[.]net  radiobutton.mooo[.]com  sealand.publicvm[.]com  securesource.strangled[.]net  softstream.strangled[.]net  sportacademy.my03[.]com  sportnewspaper.strangled[.]net  supercar.ignorelist[.]com  supernews.instanthq[.]com  supernews.sytes[.]net  telesport.mooo[.]com  tiger.got-game[.]org  top-facts.sytes[.]net  track.strangled[.]net  wargame.ignorelist[.]com  weather-online.hopto[.]org  wintersport.mrbasic[.]com  x-files.zapto[.]org

MD5s:

0328dedfce54e185ad395ac44aa4223c  18da7eea4e8a862a19c8c4f10d7341c0  2a7670aa9d1cc64e61fd50f9f64296f9  49d6cf436aa7bc5314aa4e78608872d8  a44ee30f9f14e156ac0c2137af595cf7  b0a1301bc25cfbe66afe596272f56475  bcfee2fb5dbc111bfa892ff9e19e45c1  d6211fec96c60114d41ec83874a1b31d  e29a3cc864d943f0e3ede404a32f4189  f5916f8f004ffb85e93b4d205576a247  594cb9523e32a5bbf4eb1c491f06d4f9  d5bd7211332d31dcead4bfb07b288473

参考来源

http://www.theregister.co.uk/2015/09/09/turla_apt_satellite_stealth/

https://securelist.com/blog/research/72081/satellite-turla-apt-command-and-control-in-the-sky/

https://blog.kaspersky.com/turla-apt-exploiting-satellites/9771/

* FreeBuf小编综合整理,有删减,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM

发表评论