WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Mã độc Turla APT sử dụng vệ tinh để tránh bị phát hiện
Kaspersky vừa tiết lộ bằng chứng về việc hacker sử dụng vệ tinh để che giấu vị trí và các hoạt động của các chiến dịch mã độc APT.
Hãng cho biết nhóm hacker nói tiếng Nga và sử dụng mã độc tai tiếng Turla. Vì vậy, Kaspersky gọi tên nhóm này là Turla.
Hãng an ninh cũng cho hay sử dụng vệ tinh có nghĩa là mã độc APT hầu như không thể bị loại bỏ bởi kết cấu của nó rất kiên cố. Điều này rất có lợi cho hacker bởi thông thường các server C&C có thể bị ngắt bởi các cơ quan thực thi luật pháp.
Kaspersky cho biết khi các bạn là một nhóm APT, bạn cần đối mặt với rất nhiều vấn đề. Một trong số đó, có thể là nghiêm trọng nhất, là các tên miền và máy chủ dùng cho C&C thường xuyên bị chiếm đoạt và bị chặn.
Tuy nhiên, nhóm Turla có khả năng duy trì tình trạng không bị phát hiện trong gần 8 năm bằng việc sử dụng vệ tinh Digital Video Broadband bao phủ khu vực Trung Đông và Châu Phi.
“Mặc dù không có nhiều nhưng từ năm 2007 một vài nhóm APT đã sử dụng và lợi dụng các đường dẫn vệ tinh để kiểm soát các hoạt động, chủ yếu là kết cấu C&C. Turla là một trong số các nhóm này”, hãng an ninh cho hay.
Kaspersky cũng giải thích rằng việc tấn công có thể thực hiện bằng cách khóa kết nối giữa các địa chỉ IP đang hoạt động với các vệ tinh.
Tin tặc lợi dụng thực tế các kết nối này không bị mã hóa, từ đó tạo được kết nối giữa người dùng hợp pháp và hacker.
Người dùng không bao giờ chú ý đến điều này bởi tin tặc chuyển lưu lượng dữ liệu trên thiết bị hợp pháp đến một cổng không dùng đến. Việc này thường gửi một quảng cáo kèm thêm, nhưng trên nền tảng kết nối web chậm như vệ tinh, tường lửa thường lờ đi và “ném” file đi hơn là gửi trả lại.
Trong khi đó, các thiết bị giả mạo IP hợp pháp của người dùng nhận thông tin.
Hacker dường như đã hoạt động trong thời gian vài tháng trước khi dừng không hoạt động tại một khu vực nhất định, hoặc do những giới hạn hoạt động mà chúng tự áp đặt nhằm tránh bị phát hiện hoặc vì chúng đóng cửa.
Để thực hiện phương thức tấn công này, vốn đầu tư ban đầu chỉ nhỏ hơn 1.000USD. Chi phí duy trì thường niên cũng thấp hơn 1.000USD mỗi năm.
Việc sử dụng kết nối vệ tinh có rất nhiều lợi điểm cho hacker nhưng cũng tồn tại một số yếu điểm như tốc độc thấp và thường xuyên không ổn định.
Hãng cho biết nhóm hacker nói tiếng Nga và sử dụng mã độc tai tiếng Turla. Vì vậy, Kaspersky gọi tên nhóm này là Turla.
Hãng an ninh cũng cho hay sử dụng vệ tinh có nghĩa là mã độc APT hầu như không thể bị loại bỏ bởi kết cấu của nó rất kiên cố. Điều này rất có lợi cho hacker bởi thông thường các server C&C có thể bị ngắt bởi các cơ quan thực thi luật pháp.
Kaspersky cho biết khi các bạn là một nhóm APT, bạn cần đối mặt với rất nhiều vấn đề. Một trong số đó, có thể là nghiêm trọng nhất, là các tên miền và máy chủ dùng cho C&C thường xuyên bị chiếm đoạt và bị chặn.
Tuy nhiên, nhóm Turla có khả năng duy trì tình trạng không bị phát hiện trong gần 8 năm bằng việc sử dụng vệ tinh Digital Video Broadband bao phủ khu vực Trung Đông và Châu Phi.
“Mặc dù không có nhiều nhưng từ năm 2007 một vài nhóm APT đã sử dụng và lợi dụng các đường dẫn vệ tinh để kiểm soát các hoạt động, chủ yếu là kết cấu C&C. Turla là một trong số các nhóm này”, hãng an ninh cho hay.
Kaspersky cũng giải thích rằng việc tấn công có thể thực hiện bằng cách khóa kết nối giữa các địa chỉ IP đang hoạt động với các vệ tinh.
Tin tặc lợi dụng thực tế các kết nối này không bị mã hóa, từ đó tạo được kết nối giữa người dùng hợp pháp và hacker.
Người dùng không bao giờ chú ý đến điều này bởi tin tặc chuyển lưu lượng dữ liệu trên thiết bị hợp pháp đến một cổng không dùng đến. Việc này thường gửi một quảng cáo kèm thêm, nhưng trên nền tảng kết nối web chậm như vệ tinh, tường lửa thường lờ đi và “ném” file đi hơn là gửi trả lại.
Trong khi đó, các thiết bị giả mạo IP hợp pháp của người dùng nhận thông tin.
Hacker dường như đã hoạt động trong thời gian vài tháng trước khi dừng không hoạt động tại một khu vực nhất định, hoặc do những giới hạn hoạt động mà chúng tự áp đặt nhằm tránh bị phát hiện hoặc vì chúng đóng cửa.
Để thực hiện phương thức tấn công này, vốn đầu tư ban đầu chỉ nhỏ hơn 1.000USD. Chi phí duy trì thường niên cũng thấp hơn 1.000USD mỗi năm.
Việc sử dụng kết nối vệ tinh có rất nhiều lợi điểm cho hacker nhưng cũng tồn tại một số yếu điểm như tốc độc thấp và thường xuyên không ổn định.
Nguồn: V3
Chỉnh sửa lần cuối bởi người điều hành: