Kaspersky Lab, Rus siber casusluk grubu Turla'nın uydulardan yararlandığını tespit etti.
Rus siber casusluk aktörü Turla'yı araştıran Kaspersky Lab araştırmacıları, faaliyetleri ve fiziksel konumunun tespit edilmesinden nasıl kurtulduğunu keşfetti. Anonim olmak için bir çözüm olarak grup, global uydu ağlarındaki güvenlik açıklarından yararlanıyor.
Turla, 10 yıldan uzun süredir faal olan sofistike bir siber casusluk grubu. Turla'nın ardındaki saldırganlar Kazakistan, Rusya, Çin, Vietnam ve ABD dahil 45'ten fazla ülkede yüzlerce bilgisayara virüs bulaştırdı. Etkilenen kurum türleri arasında kamu kuruluşları ve elçiliklerin yanı sıra savunma, eğitim, araştırma ve ilaç şirketleri de bulunuyor. Başlangıç aşamasında Epic arka kapı, kurbanın profilini çıkarıyor. Sadece en yüksek profilli hedefler için saldırganlar, saldırının sonraki aşamalarında izlerini silmelerine yardımcı olan kapsamlı uydu tabanlı haberleşme mekanizmaları kullanıyorlar.
Uydu haberleşmesinin genellikle TV yayınları ve güvenli haberleşme için kullanıldığı bilinir; bununla birlikte İnternet erişimi için de kullanılır. Bu gibi hizmetler genellikle tüm diğer İnternet erişim yöntemlerinin ya istikrarsız ya yavaş ya da hiç bulunmadığı uzak konumlarda kullanılıyor. En yaygın olarak kullanılan ve uygun maliyetli uydu tabanlı İnternet bağlantısı, sadece aşağı akış adı verilen bağlantı.
Bu bağlantı türünde bir kullanıcının bilgisayarından dışarıya giden talepler klasik hatlar (kablolu veya GPRS bağlantılı) üzerinden iletilirken gelen trafiğin tamamı uydu üzerinden gerçekleştirilir. Bu teknoloji kullanıcının nispeten yüksek bir indirme hızından faydalanmasını sağlıyor. Ancak büyük bir dezavantajı var: aşağı akış trafiğinin tamamı bilgisayara şifresiz olarak gelir. Pahalı olmayan ekipman ve yazılımların doğru setine sahip herhangi bir kötü niyetli kullanıcı kolaylıkla trafiğe müdahale edebiliyor ve bu bağlantıların kullanıcılarının indirdiği tüm verilere erişim sağlayabiliyor.
Turla grubu bu zayıflıktan farklı bir şekilde faydalanıyor: zararlı altyapının en önemli parçalarından biri olan Komuta ve Kontrol sunucularının (C&C) konumunu saklamak için. C&C sunucusu temel olarak, hedeflenen makinelere dağıtılan zararlı yazılım için bir “üs” görevi görüyor. Bu sunucunun konumunun keşfedilmesi araştırmacıların operasyonun arkasındaki aktör hakkındaki ayrıntıları ortaya çıkarmasını sağlıyor;
Turla grubu bu risklerden şu şekilde kaçınmakta:
1. Grup öncelikle, o sırada çevrimiçinde olan uydu tabanlı İnternet kullanıcılarının aktif IP adreslerini belirlemek için uydudan aşağı akımı “dinler”.
2. Yasal kullanıcısı fark etmeden bir C&C sunucusunu maskelemek için kullanılacak olan çevrimiçi IP adresini seçerler.
3. Ardından Turla'nın virüs bulaştırdığı makinelere, düzenli uydu tabanlı İnternet kullanıcılarından seçilen IP'lerden veri çalma talimatı verilir. Veriler, klasik hatlardan uydu İnternet sağlayıcıların teleportlarına ve oradan da uyduya ve en sonunda uydudan seçilen IP'lerin sahipleri olan kullanıcılara ulaşır.
İlginç bir şekilde, IP adresleri virüslü makineden veri almak için saldırganlar tarafından kullanılan yasal kullanıcı da bu veri paketlerini alır ancak genellikle farkına varmaz. Bunun nedeni Turla saldırganlarının virüslü makinelere, çoğu durumda varsayılan olarak kapalı bulunan portlara veri gönderme talimatı vermesi. Yasal kullanıcının bilgisayarı bu paketleri düşürürken, bu portları açık tutan Turla C&C sunucusu çalınan verileri alıyor ve işliyor.
Turla aktörünün taktikleriyle ilgili bir diğer ilginç şey, Orta Doğu ve Afrika ülkelerinde bulunan uydu İnternet bağlantısı sağlayıcıları kullanmaya eğilimli olmaları. Kaspersky Lab uzmanları araştırmalarında, Turla grubunun Kongo, Lübnan, Libya, Nijer, Nijerya, Somali veya BAE gibi ülkelerdeki sağlayıcıların IP'lerini kullandıklarını gördü.
Bu ülkelerdeki operatörlerin kullandığı uydu sinyalleri Avrupa ve Kuzey Amerika bölgelerini kapsamadığından birçok güvenlik araştırmacısının bu saldırıları araştırmasını son derece zorlaştırıyor.
Kaspersky Lab Kıdemli Güvenlik Araştırmacısı Stefan Tanase şunları söyledi: “Geçmişte, operasyonlarını maskelemek için uydu tabanlı İnternet bağlantıları kullanan en az üç farklı aktör gördük. Bunların arasında Turla grup tarafından geliştirilmiş olan çözüm en ilginci ve en sıra dışı olanıdır. Geniş çapta kullanılan bir teknolojiyi, tek yönlü uydu İnternet teknolojisini kullanarak üst düzeyde bir anonimliğe ulaşabiliyorlar. Saldırganlar, seçtikleri uydunun binlerce kilometrekareyi aşan bir alan olan menzilinde herhangi bir yerde olabilirler. Bu durum saldırganı izlemeyi neredeyse imkansız hale getiriyor. Buna benzer yöntemlerin daha da popüler olmasıyla sistem yöneticilerinin bu gibi saldırıları azaltmak için doğru savunma stratejileri kullanmaları önemlidir.”
0 yorum