高级黑客( ab )是如何利用卫星隐藏在雷达之下的

admin 2018-06-21

世界上最先进的间谍组织之一已经被抓获,他们为Linux系统释放了一种极其隐秘的特洛伊木马,多年来它从世界各国政府和制药公司那里窃取敏感数据。现在研究人员发现了一种非常不寻常的方法,即所谓的Turla组织成员用来掩盖他们的踪迹。他们劫持卫星互联网链接与指挥和控制服务器通信。

进一步准备强大、高度隐秘的Linux特洛伊木马可能已经感染受害者多年,大多数可用的卫星互联网现在仍然和20年前推出时一样有限。速度很慢,只为用户提供单向下载链接。但是有一点使得它们对Turla成员很有吸引力:大多数卫星链路都是未加密的,任何人在600英里范围内都可以截获。这意味着位于非洲偏远地区的某个人与基于卫星的ISP之间的连接可以被攻击者监控甚至劫持。

根据莫斯科安全公司卡巴斯基实验室周三发表的研究报告,这正是图拉成员所做的。说俄语的黑客只为他们最引人注目的目标保留这种方法,甚至在间谍活动的后期才使用这种方法。卡巴斯基实验室高级安全研究员Stefan Tanase表示,他们是如何做到的:

劫持卫星DVB - S链路,需要满足以下条件:

卫星天线-大小取决于地理位置和卫星低噪声块下变频器( LNB )、专用DVB - S调谐器( PCIe卡)和PC,最好运行linuxs,而天线和LNB或多或少是标准的,卡可能是最重要的组件。目前,最好的DVB - S卡是由一家名为TBS Technologies的公司生产的。TBS - 6922 se可以说是这项任务的最佳入门卡。

TBS卡特别适合这项任务,因为它有专门的Linux内核驱动程序,并支持一种称为强力扫描的功能,这种功能允许测试宽频率范围的有趣信号。当然,其他PCI或PCIe卡也可以工作,但一般来说,基于USB的卡比较差,应该避免使用。

与全双工卫星网际网路不同,仅下游的网际网路连结是用来加速网际网路下载,而且非常便宜且易于部署。它们本身也是不安全的,不使用加密来混淆流量。这就产生了滥用的可能性。

只提供下游互联网接入的公司使用传送点将流量传送到卫星。卫星通过传送点路由某些IP类,将流量广播到地面上更大的区域,在Ku波段( 12 - 18 GHz )。

Turla攻击者在其中一个类中侦听来自特定IP地址的数据包。当某些数据包(例如TCP / IP SYN数据包)被识别出来时,黑客会利用传统的互联网线路欺骗对源的回复。该链接的合法用户只是忽略欺骗的数据包,因为它转到了另一个未打开的端口,如端口80或10080。对于正常的互联网连接,如果数据包到达关闭的端口,最终用户通常会向ISP发送一些出错的指示。但卫星链路通常使用防火墙将数据包丢弃到封闭端口。这就让Turla偷偷劫持了连接。< x1c >黑客攻击允许感染Turla间谍软件的计算机与Turla C & C服务器通信,而不披露它们的位置。因为Turla袭击者有自己的接收搭载信号的卫星天线,他们可以在600英里半径内的任何地方。结果,研究人员在很大程度上被阻止关闭手术或获得关于谁在实施手术的线索。塔纳斯告诉Ars说:

这可能是确保他们的操作安全的最有效的方法之一,或者没有人会知道他们的指挥和控制服务器的物理位置。我想不出识别命令服务器位置的方法。它可以在卫星波束范围内的任何地方。


点赞: