【信息安全】俄羅斯間諜黑客組織圖拉劫持通信衛星鏈路盜取數據


點擊標題下方藍字,即可一鍵關注我們


一種最為流行和成本最低的衛星鏈路就是隻限下行(downstream-only),主要用於更快的下載速度,因為衛星連接傾向於提供比其他連接方法更大的帶寬。

從用戶計算機中出來的流量通過撥號或其他連接,從衛星連接過來的流量直接進入用戶計算機。因為,衛星通信沒有加密,黑客可以架設天線來劫持數據。圖拉就是利用這一點,來劫持並使用合法衛星鏈路用戶的IP地址。

衛星係統的一些漏洞早在2009年和2010年的黑帽大會上就有所披露,但圖拉的黑客更早,他們從至少從2007年就開始使用這些漏洞來劫持衛星鏈路了。

卡巴斯基發現了圖拉在2007年編譯的惡意軟件,其中包含兩個硬編碼的IP地址,其中一個屬於德國的衛星互聯網服務提供商。

要想使用被劫持的衛星連接來盜取數據,攻擊者首先要用包含硬編碼域名(命令控製服務器)在內的惡意軟件感染目標計算機,但黑客並沒有使用靜態IP地址,而是使用了動態DNS主機,可允許他們任意改變IP地址。

接下來,攻擊者使用天線來拾取衛星信號流量,並收集合法衛星用戶的IP地址。受感染計算機上的惡意軟件會聯係到合法衛星用戶的IP地址上,並初始化TCPIP連接。

但用戶的計算機會放棄這個連接,因為該次通信請求的目標不是用戶計算機,而是攻擊者的命令控製服務器。這樣,攻擊者的服務器就使用了一個合法衛星用戶的IP地址建立了一個流量通道,從目標計算機即受感染的計算機上盜取數據。數據雖然會經過合法衛星用戶的係統,但係統會將其丟棄。

塔內西表示,合法衛星用戶並不會注意到他的衛星鏈路被劫持,除非他去檢測日誌,並且發現被衛星調製解調器丟棄的數據包。“也許會發現意外的請求,但很可能被認為是互聯網的信號噪聲,”而不是可疑流量。

但是,該方法並不能用於長期的盜取數據。因為,衛星互聯網連接是單向的,非常不穩定。而且,合法用戶隨時還可能下線而導致攻擊者使用的IP失效。塔納西表示,這種方法僅見於針對最高端的目標,其要求攻擊者高度的匿名性,圖拉並不經常使用。

研究人員還發現,雖然圖拉使用全世界的衛星通信,但主要在集中在兩個特定的區域–中東和非洲,如剛果、尼日利亞、黎巴嫩、索馬裏和阿聯酋。

劫持過程很容易,成本也很低。隻需一個碟形衛星天線,一些電纜和一台衛星調製解調器,總共花費約1000美元。

這並不是卡巴斯基首次發現黑客組織利用衛星鏈路來維護他們的命令控製服務器,之前的Hacking Team銷售給執法部門和情報機關的工具中,就包括了這種方法。而這種方法一旦被大量的網絡犯罪組織掌握並使用,對於執法部門和安全研究人員來說,再想像以前那樣找到並關閉作惡者的服務器,無疑會變得非常困難。

(安全牛)

“首都版權產業聯盟”感謝您的訂閱關注

更多最新資訊,請微信掃描二維碼添加





下一篇 : 他,一位預報了日美開戰日期的日本籍紅色間諜


微信掃一掃
分享文章到朋友圈