English
Spionajul cibernetic reprezintă o altă extensie a întregului segment dezvoltat de către hackeri, iar sintagma "Scopul scuză mijloacele" se pare că devine, din ce în ce mai mult, sloganul acestora.
Astăzi, vom face cunoştinţă cu Satellite Turla, un intrus care a ţintit foarte sus, la propriu, prin accesarea adreselor de Internet cu conexiune prin satelit. Cu ajutorul acestei metode, atacatorii din spatele Turla au reuşit să producă pagube în peste 45 de ţări, inclusiv în România.
Nume de cod "IP cu conexiune prin satelit"
Din investigaţiile specialiştilor de la Kaspersky, derulate pe o perioadă de câţiva ani, a rezultat faptul că Satellite Turla avea în spate un grup APT (Advanced Persistent Threat - dezvoltatori de ameninţări persistente avansate, n.r.). Satellite Turla este cunoscut sub mai multe identităţi: Snake, Uroboros, WhiteBear, Venomous Bear şi Kypton.
Rezultatele unei cercetări referitoare la Turla au fost publicate în anul 2014, moment în care grupul de spionaj cibernetic era activ de cel puţin opt ani, susţin experţii. Concluzia raportului a fost aceea că acest grup este vorbitor de limbă rusă şi se evidenţiază prin mecanismul avansat de comandă şi control prin satelit, implementat în etapele finale ale atacului.
"Serverele de comandă şi control sunt vizate întotdeauna de către cercetătorii în securitate cibernetică şi de către autorităţi, pentru că de acolo sunt controlate toate operaţiunile, iar oprirea lor poate să afecteze funcţionarea campaniei sau chiar să o oprească. În plus, serverele C&C (Command & Control, n.r.) pot fi folosite pentru a afla indicii despre localizarea fizică a atacatorilor. Una dintre cele mai simple variante de conexiune la Internet prin satelit are o problemă: tot traficul care merge dinspre satelit înspre PC este necriptat, deci poate fi uşor interceptat. Grupul Turla a folosit această problemă în favoarea lor, ascunzându-şi traficul C&C", a fost concluzia specialiştilor.
Concret, infractorii cibernetici căutau IP-urile de Internet cu conexiune prin satelit care erau online şi alegeau unul pentru a-şi ascunde serverul C&C. În acest mod, dispozitivele infectate de Turla primeau instrucţiunea să trimită toate datele la IP-urile selectate.
Backdoor-ul operat de Turla (denumit LightNeuron), investigat şi de către cercetătorii de la Eset, era direcţionat asupra serverelor de e-mail Microsoft Exchange şi putea fi controlat prin intermediul documentelor din ataşament, utilizând steganografia pentru ascunderea comenzilor, notează Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO), care citează portalul WeLiveSecurity aparţinând companiei Eset.
"LightNeuron funcţionează la acelaşi nivel de încredere ca şi aplicaţiile de securitate, cum ar fi filtrele de spam, permiţând, astfel, citirea şi modificarea tuturor e-mailurilor care trec prin serverul de email Microsoft Exchange compromis. De asemenea, malware-ul poate compune şi trimite e-mail-uri şi poate bloca e-mail-uri trimise de către utilizator", avertizau specialiştii.
Euro
Dolar SUA
Franc elveţian
Liră sterlină
Gram de aur
