Krievvalodīgais kibergrupējums Turla slēpjas no vajāšanas, izmantojot satelītus

Šādi grupējums var saņemt ielādējamos datus gandrīz no jebkura lietotāja, savukārt pašu grupējumu atklāt ir ļoti grūti. Līdz šim no šīs kiberspiegošanas kampaņas ir cietuši simtiem lietotāju vairāk nekā 45 valstīs, tostarp valdības un diplomātiskās iestādes, armijnieki, izglītības un pētniecības organizācijas.

Vienvirziena satelītinternetu parasti izmanto ģeogrāfiski attālās apdzīvotās vietās, kur citu veidu pieslēgumu tīmeklim vai nu nav, vai arī tie ir ļoti dārgi un lēni. Izmantojot vienvirziena savienojumu, lietotājs nosūta pieprasījumu pa virszemes kanālu (kabeli vai GPRS), bet atbilde viņam pienāk caur satelītu. Tādējādi interneta saturs tiek ielādēts visai ātri, taču tas tiek pārraidīts nešifrētā veidā. Savukārt tas nozīmē, ka ikviens ar samērā lētu aparatūru un programmatūru var viegli pārtvert datplūsmu un iegūt piekļuvi visiem datiem, ko lejupielādē lietotājs.

Tieši šo «nepilnību» izmanto kibergrupējums Turla, lai slēptu to serveru atrašanās vietu, ar kuriem tas pārvalda uzbrukumus un kur glabā savāktos datus. Tehniski process ir šāds: vispirms uzbrucēji «klausās» no satelīta nākošo datplūsmu, lai noskaidrotu, kuri lietotāji, precīzāk, kuras IP adreses, pašlaik ir tiešsaistē. Tad viņi izvēlas to IP adresi, kuru izmantos sava servera slēpšanai. Pēc tam viņi nosūta Turla inficētajiem datoriem komandas datu pārraidei uz izvēlēto IP adresi. Tādējādi dati pa tradicionālajiem kanāliem tiek pārraidīti satelītinterneta operatoram un pēc tam caur satelītu nonāk pie lietotāja, kas neko nenojauš.

Pats lietotājs diezin vai pamanīs, ka līdztekus pieprasītajam saturam viņš ir saņēmis vēl kaut ko. Parasti Turla rīkotāji «instruē» inficētos datorus nosūtīt datus uz tiem datora portiem, kas pēc noklusējuma ir slēgti. Tos atvērs jau minētais pārvaldības serveris, un datu pakotnes tādējādi pāries uz to.

Kaspersky Lab darbinieki ir konstatējuši, ka kibergrupējums Turla galvenokārt izmanto interneta piekļuves sniedzējus, kas strādā Tuvajos Austrumos un Āfrikā. Piemēram, uzņēmuma eksperti ir noskaidrojuši, ka uzbrucēji sūtījuši datus uz Afganistānas, Libānas, Kongo, Lībijas, Nigēras, Nigērijas, Somālijas un Zambijas IP adresēm. Šajā reģionā strādājošie satelīti parasti neaptver Eiropas un Ziemeļamerikas valstis, tāpēc drošības ekspertiem, kas atrodas ārpus reģiona, nav iespējams izmeklēt šos uzbrukumus.

«Mēs jau esam saskārušies vismaz ar trim kibergrupējumiem, kas savu darbību slēpšanai arī izmantoja satelītinternetu, taču Turla izvēlētais variants ir visinteresantākais un neparastākais. Ar savu taktiku viņi ir panākuši maksimālu anonimitātes līmeni, izmantojot būtībā plaši izplatītas tehnoloģijas. Uzbrucēji var atrasties jebkurā vietā, jo satelīta aptvertā teritorija var pārsniegt tūkstošiem kvadrātkilometru, tāpēc viņus ir gandrīz neiespējami izsekot,» stāsta Kaspersky Lab vecākais antivīrusu eksperts Štefans Tenase.

Domājams, ka Turla operācijas ir krievvalodīgu rīkotāju roku darbs. Līdz šim no šīs kiberspiegošanas kampaņas ir cietuši simtiem lietotāju vairāk nekā 45 valstīs, tostarp valdības un diplomātiskās iestādes, armijnieki, izglītības un pētniecības organizācijas, kā arī farmācijas uzņēmumi. Pēdējā laikā Kaspersky Lab reģistrēto uzbrukumu skaita ziņā līderpozīcijās atrodas Kazahstāna, Krievija, ASV, Ķīna un Vjetnama. Kaspersky Lab aizsardzības programmas atklāj un bloķē Turla uzbrukumos izmantotās ļaunprogrammatūras.

Attēls: fizmati.lv