Cyberspionagegroep misbruikt satellietnetwerken om identiteit en locatie te verbergen

Een Russischtalige cyberspionagegroep gebruikt satellieten om detectie van zijn activiteiten en fysieke locatie te vermijden. De groep benut hierdoor zwakke plekken in de beveiliging van wereldwijde satellietnetwerken. Hiermee bereiken zij de ‘ultieme anonimiteit’.

Dit melden onderzoekers van Kaspersky Lab. Het gaat om Turla, een geavanceerde cyberspionagegroep die al ruim 8 jaar actief is. De aanvallers achter Turla hebben honderden computers in meer dan 45 landen besmet, waaronder overheidsinstellingen en ambassades, organisaties uit de sectoren defensie, onderwijs, onderzoek en farmaceutische bedrijven. De groep maakt gebruik van een aanval dit ‘Epic backdoor’ heet. In de eerste fase worden slachtoffers door de Epic backdoor geprofileerd, waarna de meest waardevolle doelen worden geselecteerd. Uitsluitend voor deze groep doelen gebruiken de aanvallers in de laatste fasen van de aanval vervolgens een op satellieten gebaseerd communicatiemechanisme om hun sporen te helpen verbergen.

Downstream-only verbindingen

Satellietcommunicatie is vooral bekend als hulpmiddel voor tv-uitzendingen en beveiligde communicatie; het wordt echter ook gebruikt om toegang te bieden tot internet. Dergelijke services worden meestal gebruikt op afgelegen locaties waar alle andere soorten internettoegang onstabiel, langzaam of niet beschikbaar zijn. Een van de meest wijdverbreide en betaalbare soorten satellietgebaseerde internetverbindingen is een zogenaamde downstream-only verbinding.

Bij dergelijke verbindingen worden uitgaande verzoeken van de pc van een gebruiker gecommuniceerd via conventionele lijnen (een bekabelde of GPRS-verbinding), terwijl al het binnenkomende verkeer afkomstig is van de satelliet. Met deze technologie kan de gebruiker een relatief hoge downloadsnelheid behalen. Bij downstream-only verbindingen wordt echter al het downstreamverkeer komt onversleuteld teruggestuurd naar de pc. Een malafide gebruiker kan met de juiste goedkope apparatuur en software dit verkeer eenvoudig onderscheppen en zo toegang krijgen tot alle gegevens die gebruikers van deze links aan het downloaden zijn.

Werkwijze

De Turla-groep maakt misbruik van deze kwetsbaarheid om de locatie van zijn Command & Control-servers (C&C) te verbergen:

• De groep 'luistert' eerst naar de downstream van de satelliet om actieve IP-adressen te identificeren van de satellietgebaseerde internetgebruikers die op dat moment online zijn.
• Vervolgens kiezen ze een online IP-adres dat ze willen gebruiken om een C&C-server te verbergen, zonder dat de legitieme gebruiker hiervan op de hoogte is.
• De door Turla besmette machines worden dan geïnstrueerd om data weg te sluizen naar de gekozen IP's van reguliere satellietgebaseerde internetgebruikers. Deze gegevens reizen via conventionele lijnen naar de telepoorten van de satellietinternetaanbieder en vervolgens naar de satelliet, en tot slot van de satelliet naar de gebruikers met de uitgekozen IP-adressen.

In de praktijk merkt de legitieme gebruikers waarvan het IP-adres wordt misbruikt hier nauwelijks iets van. De Turla-groep geeft besmette machines instructies om data te verzenden naar poorten die in de meeste gevallen standaard gesloten zijn. Op de C&C-server van Turla zijn deze poorten wel geopend. De pc van de legitieme gebruikers dropt deze pakketten hierdoor, terwijl deze door de C&C-server wel worden ontvangen en verwerkt.

Aanbieders in het Midden-Oosten en Afrikaanse landen

Turla gebruikt voor de methode vooral satellietinternetaanbieders in het Midden-Oosten en Afrikaanse landen worden gebruikt. In hun onderzoek hebben deskundigen van Kaspersky Lab ontdekt dat de Turla-groep IP-adressen gebruikt van aanbieders in Afghanistan, Congo, Libanon, Libië, Niger, Nigeria, Somalië en Zambia. Satellieten die door operators in deze landen worden gebruikt, hebben meestal geen dekking in Europese en Noord-Amerikaanse gebieden. Dit maakt het voor de meeste beveiligingsonderzoekers bijzonder lastig om dergelijke aanvallen te onderzoeken.

"In het verleden hebben we ten minste drie verschillende groepen gezien die satellietgebaseerde internetlinks gebruiken om hun activiteiten te maskeren. De door de Turla-groep ontwikkelde oplossing was daarbij de meest interessante en ongewone. Turla is in staat om de ultieme anonimiteit te bereiken door een op grote schaal gebruikte technologie te benutten – eenrichting-internetverkeer via de satelliet. De aanvallers kunnen zich overal binnen het bereik van de door hen gekozen satelliet bevinden, een gebied dat duizenden vierkante kilometers kan beslaan", zegt Stefan Tanase, Senior Security Researcher bij Kaspersky Lab. "Dit maakt het bijna onmogelijk om de aanvallers op te sporen. Met de toenemende populariteit van dergelijke methoden, is het voor systeembeheerders van belang om de juiste verdedigingsstrategieën te implementeren om dergelijke aanvallen af te slaan."