Een groep cyberspionnen die door verschillende anti-virusbedrijven verantwoordelijk wordt gehouden voor aanvallen op het Belgische ministerie van Buitenlandse Zaken en tal van andere organisaties blijkt al jarenlang satellieten te gebruiken om vertrouwelijke data van besmette computers te stelen. Dat meldt anti-virusbedrijf Kaspersky Lab vandaag.
De spionagegroep wordt "Turla" genoemd en is verantwoordelijk voor de Snake-rootkit, ook bekend als Uroburos. Via social engineering en zero day-lekken weet de groep al acht jaar lang computers te infecteren. Het gaat om overheidsinstellingen en ambassades, alsmede defensie-, onderwijs-, en onderzoeksorganisaties en farmaceutische bedrijven. Nadat waardevolle doelwitten zijn bepaald gebruiken de aanvallers in de laatste fase van de aanval een uitgebreid, op satellieten gebaseerd communicatiemechanisme om de data te stelen en hun sporen te verbergen.
Satellietcommunicatie biedt voornamelijk mensen in afgelegen gebieden internettoegang. Eén van de meest wijdverbreide en betaalbare soorten satellietgebaseerde internetverbindingen is een zogenaamde downstream-only verbinding. Daarbij worden uitgaande verzoeken van de pc van een gebruiker gecommuniceerd via conventionele lijnen, zoals een inbelmodem of GPRS-verbinding, terwijl al het binnenkomende verkeer afkomstig is van de satelliet. Met deze technologie kan de gebruiker een relatief hoge downloadsnelheid behalen.
Het downstreamverkeer heeft als nadeel dat het onversleuteld naar de pc terugkomt. Een malafide gebruiker in dezelfde regio als de satellietgebruiker kan met de juiste apparatuur en software dit verkeer onderscheppen en zo toegang krijgen tot het downloadverkeer van gebruikers. De Turla-groep gebruikt deze zwakte om vertrouwelijke data van besmette computers te stelen, zonder dat ze hierbij een spoor achterlaten.
De groep 'luistert' eerst naar de downstream van de satelliet om actieve IP-adressen te identificeren van de satellietgebaseerde internetgebruikers die op dat moment online zijn. Vervolgens kiezen ze een online IP-adres dat ze willen gebruiken om de gestolen data naar toe te sturen, zonder dat de legitieme gebruiker hiervan op de hoogte is. De besmette computer krijgt vervolgens de opdracht om de data naar het IP-adres van de satellietgebruiker te sturen.
Om de data uit het satellietverkeer te kunnen stelen moet de aanvaller een volledig TCP/IP-verbinding tussen hemzelf en de besmette machine hebben, zo laat Stefan Tanase van Kaspersky Lab tegenover Security.NL weten. Bij het opzetten van een TCP-verbinding tussen twee machines stuurt de client eerst een SYN-pakket naar de server. Vervolgens stuurt de server een SYN-ACK-pakket terug. De client antwoordt hierop met een ACK-pakket, waarna de verbinding is opgezet en er data kunnen worden uitgewisseld.
In het geval van de spionagegroep laat die de besmette computer een SYN-pakket naar het IP-adres van de satellietgebruiker sturen. De satellietprovider straalt dit SYN-pakket naar aarde. De onschuldige satellietgebruiker accepteert het pakket niet, omdat hij hier niet om heeft gevraagd. Er is daardoor geen TCP/IP-verbinding. De aanvallers die zich in regio bevinden en het satellietverkeer kunnen opvangen ontvangen hetzelfde pakket, maar accepteren het wel. Hiervoor sturen ze een ACK-verzoek terug, waarbij ze het IP-adres van de satellietgebruiker spoofen. "Op deze manier weten ze parallel een volledige TCP/IP-verbinding op te zetten en de data te stelen", aldus Tanase.
Het kapen van satellietverbindingen werd in 2009 en 2010 tijdens de Black Hat conferentie besproken (pdf-1, pdf-2). Volgens Tanase gebruikt de Turla-groep deze tactiek al sinds tenminste 2007. Twee jaar voordat het openbaar werd besproken. Ook andere spionagegroepen zouden deze tactiek toepassen. Daarvoor worden eigen satellietverbindingen gebruikt, maar in het geval van de Turla-groep liften ze mee op het satellietverkeer van anderen.
Het gebruik van satellieten heeft als voordeel dat aanvallers op deze manier de locatie van hun eigen server kunnen verbergen. Ook is het niet nodig om een geldig satellietabonnement te hebben. Het kapen van de satellietverbinding kan geheel anoniem plaatsvinden. Daardoor wordt het ook lastiger om de aanvallers te identificeren. Deze werkwijze heeft ook nadelen, aangezien satellietgebaseerd internet traag en onstabiel kan zijn.
Een ander interessant aspect aan de tactiek van Turla is dat er satellietinternetaanbieders in het Midden-Oosten en Afrikaanse landen worden gebruikt. Zo ontdekten de onderzoekers IP-adressen van aanbieders in Afghanistan, Congo, Libanon, Libië, Niger, Nigeria, Somalië en Zambia. Satellieten die door operators in deze landen worden gebruikt hebben meestal geen dekking in Europese en Noord-Amerikaanse gebieden. Dit maakt het voor de meeste beveiligingsonderzoekers bijzonder lastig om dergelijke aanvallen te onderzoeken.
"Turla is in staat om de ultieme anonimiteit te bereiken door een op grote schaal gebruikte technologie te benutten - eenrichtingsinternetverkeer via de satelliet. De aanvallers kunnen zich overal binnen het bereik van de door hen gekozen satelliet bevinden, een gebied dat duizenden vierkante kilometers kan beslaan", zo laat Tanase weten. Wereldwijd detecteerde Kaspersky Lab honderden infecties, hoewel het werkelijke aantal mogelijk hoger ligt omdat de virusbestrijder niet alle infecties ziet. De aanvallers zijn daarbij nog steeds actief en maken ook nog steeds gebruik van satellietcommunicatie voor het stelen van vertrouwelijke gegevens, aldus het Russische anti-virusbedrijf.
Deze posting is gelocked. Reageren is niet meer mogelijk.