国家支持的黑客组织在盗窃数据时,最怕的就是被人定位到命令控制服务器,被切断与目标机器的联系。于是,这伙讲俄语的间谍黑客组织–图拉(Turla),想到了一个绝妙的主意。
他们劫持合法用户的通信卫星IP地址,然后用来盗取数据,以隐藏他们的C2。卡巴斯基的研究人员发现,至少从2007年开始,图拉就已经使用这种隐蔽的技术了。
图拉是一个高度复杂的网络间谍组织,有可能背后为俄罗斯政府支持。十几年来,进行着目标为政府机构、大使馆和军队的网络间谍活动。全世界四十多个国家,都是其活动目标,包括哈萨克斯坦、中国、越南和美国,尤其是东、中欧国家。
图拉使用各种方法和手段感染目标系统并盗取数据,但最高端的莫属于通过劫持卫星链路来隐藏他们的命令控制服务器(C2)了。
起初,黑客通过多层代理来隐藏他们的服务器。但这种方法并不保险,还是有可能被追溯到服务器的提供方,然后被关闭并被做为司法证据。
“C2是网络犯罪或网络间谍活动成败攸关的核心,因此隐藏服务器的物理地址对于他们来说非常的重要。”
卫星链路互联网提供商覆盖的地理区域要比普通互联网提供商大的多,可横跨多个国家甚至是大洲,因此追踪使用卫星IP地址的计算机难度非常之大。
“实际上,这种技术让找到并关闭他们的命令服务器变得不可能,”卡巴斯基安全研究人员塔纳西认为。“无论你使用多少层代理来隐藏服务器,调查人员只要持续追踪下去,最终能找到真实的IP地址,这只是一个时间问题。但对于卫星链路,几乎是不可能的。”
劫持卫星链路的原理
卫星互联网连接并不算新技术,已经应用了至少二十年,在一些偏远或没有高速网络连接的地区尤为普遍。
一种最为流行和成本最低的卫星链路就是只限下行(downstream-only),主要用于更快的下载速度,因为卫星连接倾向于提供比其他连接方法更大的带宽。从用户计算机中出来的流量通过拨号或其他连接,从卫星连接过来的流量直接进入用户计算机。因为,卫星通信没有加密,黑客可以架设天线来劫持数据。图拉就是利用这一点,来劫持并使用合法卫星链路用户的IP地址。
卫星系统的一些漏洞早在2009年和2010年的黑帽大会上就有所披露,但图拉的黑客更早,他们从至少从2007年就开始使用这些漏洞来劫持卫星链路了。卡巴斯基发现了图拉在2007年编译的恶意软件,其中包含两个硬编码的IP地址,其中一个属于德国的卫星互联网服务提供商。
要想使用被劫持的卫星连接来盗取数据,攻击者首先要用包含硬编码域名(命令控制服务器)在内的恶意软件感染目标计算机,但黑客并没有使用静态IP地址,而是使用了动态DNS主机,可允许他们任意改变IP地址。
接下来,攻击者使用天线来拾取卫星信号流量,并收集合法卫星用户的IP地址。受感染计算机上的恶意软件会联系到合法卫星用户的IP地址上,并初始化TCPIP连接。但用户的计算机会放弃这个连接,因为该次通信请求的目标不是用户计算机,而是攻击者的命令控制服务器。这样,攻击者的服务器就使用了一个合法卫星用户的IP地址建立了一个流量通道,从目标计算机即受感染的计算机上盗取数据。数据虽然会经过合法卫星用户的系统,但系统会将其丢弃。
塔内西表示,合法卫星用户并不会注意到他的卫星链路被劫持,除非他去检测日志,并且发现被卫星调制解调器丢弃的数据包。“也许会发现意外的请求,但很可能被认为是互联网的信号噪声,”而不是可疑流量。
但是,该方法并不能用于长期的盗取数据。因为,卫星互联网连接是单向的,非常不稳定。而且,合法用户随时还可能下线而导致攻击者使用的IP失效。塔纳西表示,这种方法仅见于针对最高端的目标,其要求攻击者高度的匿名性,图拉并不经常使用。
研究人员还发现,虽然图拉使用全世界的卫星通信,但主要在集中在两个特定的区域–中东和非洲,如刚果、尼日利亚、黎巴嫩、索马里和阿联酋。
劫持过程很容易,成本也很低。只需一个碟形卫星天线,一些电缆和一台卫星调制解调器,总共花费约1000美元。
这并不是卡巴斯基首次发现黑客组织利用卫星链路来维护他们的命令控制服务器,之前的Hacking Team销售给执法部门和情报机关的工具中,就包括了这种方法。而这种方法一旦被大量的网络犯罪组织掌握并使用,对于执法部门和安全研究人员来说,再想像以前那样找到并关闭作恶者的服务器,无疑会变得非常困难。