Cyberspionagekampagne „Turla“ nutzt Satelliten zur Anonymisierung

Laut Analysen von Kaspersky Lab nutzt die berüchtigte russischsprachige Cyberspionagekampagne Turla Sicherheitsschwachstellen in globalen Satelliten-Netzwerken. So können Hinweise auf Aktivitäten und den Standort verschleiert werden. Bereits im vergangenen Jahr berichtete Kaspersky Lab über die APT-Kampagne, von der unter anderem auch Ziele in Deutschland betroffen sind.

Turla ist eine hochentwickelte Cyberspionagekampagne, die seit mehr als acht Jahren aktiv ist. Die Angreifer hinter Turla haben hunderte von Computern in mehr als 45 Ländern infiziert – darunter staatliche Institutionen und Botschaften sowie Einrichtungen aus den Bereichen Militär, Bildung, Forschung und Pharmazie. In der Anfangsphase einer Infizierung erstellt das Backdoor Epic [2] ein Profil des Opfers. In der Endphase der Attacke wenden die Angreifer einen umfangreichen, satellitengestützten Kommunikationsmechanismus an – allerdings nur bei den vielversprechendsten Profilen. Dieser hilft ihnen dabei, ihre Spuren zu verwischen.

"In der Vergangenheit gab es mindestens drei verschiedene Akteure, die satellitengestütztes Internet zur Verschleierung ihrer Aktivitäten verwendet haben. Die Vorgehensweise von Turla ist dabei die interessanteste und ungewöhnlichste. Hier wird das höchste Anonymitätslevel  erreicht, indem eine weitverbreitete Technologie ausgenutzt wird – das so genannte ‚One-Way Satellite Internet‘. Die Angreifer können sich überall im Bereich des jeweiligen Satelliten befinden – also auf einer Fläche, die sich über tausende von Quadratkilometern erstrecken kann", erklärt Stefan Tanase, Senior Security Researcher bei Kaspersky Lab. "Das machst es so gut wie unmöglich, die Angreifer zurückzuverfolgen. Dieses Vorgehen wird immer beliebter, daher ist es für Systemadministratoren umso wichtiger, die richtigen Schutzmaßnahmen anzuwenden und damit Attacken zu vermeiden."

Neue Verschleierungsmethode für C&C-Server-Standorte

Satellitenkommunikation ist hauptsächlich als Instrument für Fernsehausstrahlungen und sichere Kommunikation bekannt – sie kann jedoch auch für den Zugang zum Internet verwendet werden. Solche Dienste werden insbesondere in abgelegenen Gebieten genutzt, in denen alle anderen Möglichkeiten des Internetzugangs entweder instabil, langsam oder überhaupt nicht verfügbar sind. Eine der meist verbreitetsten und preiswertesten Formen satellitengestützter Internetverbindungen ist die sogenannte Downstream-Only-Verbindung.

Dabei werden ausgehende Anfragen vom PC eines Nutzers mithilfe herkömmlicher Verbindungen kommuniziert (Kabel- oder GPRS-Verbindung),der eingehende Verkehr hingegen kommt von einem Satelliten. Diese Technologie ermöglicht dem Nutzer eine verhältnismäßig schnelle Download-Geschwindigkeit. Allerdings hat es auch einen großen Nachteil: der gesamte Downstream-Datenverkehr kommt unverschlüsselt auf den PC zurück. Mit der richtigen Ausstattung und Software können Angreifer den Verkehr abfangen und so Zugriff auf das Datenmaterial erhalten, das der Nutzer über diese Verbindung herunterlädt.

Die Turla-Gruppe macht sich diese Schwachstelle auf eine andere Art zunutze: Sie verschleiern damit den Standort ihrer Command-and-Control-Server (C&C) – einer der wichtigsten Bestandteile der schädlichen Infrastruktur. Der C&C-Server ist im Grunde ein Ausgangspunkt für die Schadsoftware, die bei anvisierten Geräten eingesetzt wird. Wird der Standort eines solchen Servers entdeckt, können Ermittler Details über den Angreifer erhalten.

Um dieses Risiko zu umgehen, agieren die Angreifer von Turla folgendermaßen:

  • Zunächst wird der Downstream des Satelliten „abgehört“. So werden aktive IP-Adressen von satellitengestützten Internetnutzern, die gerade online sind, ermittelt.
  • Daraufhin wird eine dieser Online-IP-Adressen als Deckmantel für einen C&C-Server ausgesucht und ohne die Zustimmung des rechtmäßigen Nutzers verwendet.
  • Die von Turla infizierten Geräte werden dann angewiesen, Daten von ausgewählten IP-Adressen regulärer satellitengestützter Internetnutzer herauszufiltern. Die Daten wandern über herkömmliche Verbindungen, zu den Teleports der satellitengestützten Internetanbieter, hin zu den Satelliten und anschließend zu den Nutzern der ausgesuchten IP-Adressen.

Interessanterweise erhält der rechtmäßige Nutzer, dessen IP-Adresse von den Angreifern für den Datenklau missbraucht wurde, die Datenpakete ebenfalls – er bemerkt diese jedoch kaum. Die Turla-Angreifer weisen die infizierten Geräte nämlich dazu an, Daten an standardmäßig geschlossene Ports zu schicken. Der C&C-Server von Turla – der die Ports offen lässt – erhält und verarbeitet die herausgefilterten Daten.

Außerdem fällt auf, dass die Turla-Akteure bevorzugt Provider von Satelliten-Internetverbindungen mit Sitz in Nahost und afrikanischen Ländern nutzen. Bei ihren Untersuchungen haben die Kaspersky-Experten festgestellt, dass die Turla-Gruppe IPs von Providern aus Afghanistan, dem Kongo, Libanon, Libyen, Niger, Nigeria, Sambia und Somalia verwendet. Satelliten, die von den Akteuren in diesen Ländern genutzt werden, decken normalerweise keine europäischen und nordamerikanischen Gebiete ab. Für die meisten Sicherheitsforscher ist es daher schwierig, solche Attacken zu untersuchen.

Produkte von Kaspersky Lab können vor Malware schützen, die von Turla eingesetzt werden. Weitere Informationen zur Vorgehensweise von Turla sowie Hinweise auf eine mögliche Infizierung sind hier verfügbar. (sg)

 

0
RSS Feed

Neuen Kommentar schreiben

Entdecken Sie die Printmagazine des WIN-Verlags