Spionajul cibernetic reprezintă o altă extensie a întregului segment dezvoltat de către hackeri, iar sintagma "Scopul scuză mijloacele" se pare că devine, din ce în ce mai mult, sloganul acestora.

Astăzi, vom face cunoştinţă cu Satellite Turla, un intrus care a ţintit foarte sus, la propriu, prin accesarea adreselor de Internet cu conexiune prin satelit. Cu ajutorul acestei metode, atacatorii din spatele Turla au reuşit să producă pagube în peste 45 de ţări, inclusiv în România.

Nume de cod "IP cu conexiune prin satelit"
Din investigaţiile specialiştilor de la Kaspersky, derulate pe o perioadă de câţiva ani, a rezultat faptul că Satellite Turla avea în spate un grup APT (Advanced Persistent Threat - dezvoltatori de ameninţări persistente avansate, n.r.). Satellite Turla este cunoscut sub mai multe identităţi: Snake, Uroboros, WhiteBear, Venomous Bear şi Kypton.

Rezultatele unei cercetări referitoare la Turla au fost publicate în anul 2014, moment în care grupul de spionaj cibernetic era activ de cel puţin opt ani, susţin experţii. Concluzia raportului a fost aceea că acest grup este vorbitor de limbă rusă şi se evidenţiază prin mecanismul avansat de comandă şi control prin satelit, implementat în etapele finale ale atacului.

"Serverele de comandă şi control sunt vizate întotdeauna de către cercetătorii în securitate cibernetică şi de către autorităţi, pentru că de acolo sunt controlate toate operaţiunile, iar oprirea lor poate să afecteze funcţionarea campaniei sau chiar să o oprească. În plus, serverele C&C (Command & Control, n.r.) pot fi folosite pentru a afla indicii despre localizarea fizică a atacatorilor. Una dintre cele mai simple variante de conexiune la Internet prin satelit are o problemă: tot traficul care merge dinspre satelit înspre PC este necriptat, deci poate fi uşor interceptat. Grupul Turla a folosit această problemă în favoarea lor, ascunzându-şi traficul C&C", a fost concluzia specialiştilor.

Concret, infractorii cibernetici căutau IP-urile de Internet cu conexiune prin satelit care erau online şi alegeau unul pentru a-şi ascunde serverul C&C. În acest mod, dispozitivele infectate de Turla primeau instrucţiunea să trimită toate datele la IP-urile selectate.

Backdoor-ul operat de Turla (denumit LightNeuron), investigat şi de către cercetătorii de la Eset, era direcţionat asupra serverelor de e-mail Microsoft Exchange şi putea fi controlat prin intermediul documentelor din ataşament, utilizând steganografia pentru ascunderea comenzilor, notează Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO), care citează portalul WeLiveSecurity aparţinând companiei Eset.

"LightNeuron funcţionează la acelaşi nivel de încredere ca şi aplicaţiile de securitate, cum ar fi filtrele de spam, permiţând, astfel, citirea şi modificarea tuturor e-mailurilor care trec prin serverul de email Microsoft Exchange compromis. De asemenea, malware-ul poate compune şi trimite e-mail-uri şi poate bloca e-mail-uri trimise de către utilizator", avertizau specialiştii.

În vara anului 2017, un raport realizat de către cei de la Kaspersky dezvăluia faptul că România a intrat în topul primelor zece ţări cu cele mai multe servere de comandă şi control (C&C) pentru atacuri informatice de tip Distributed Denial of Service (DDoS), ocupând atunci locul 6, după Coreea de Sud, SUA, Olanda, Japonia, Ucraina şi Bulgaria. Atacul de tip DDoS reprezintă cea mai întâlnită formă de infracţiune cibernetică, având ca ţintă website-uri importante şi mai rar computerele personale.

Rezultatele unei alte cercetări efectuată de Kaspersky, privind campania derulată de Grupul Turla, sunt confirmate în 2014 de către oficialii CERT-RO. Astfel, datele indicau faptul că România era ţara cu cele mai multe site-uri infectate (6), care susţineau atacurile respective în acel moment, aflându-se în acest fel pe primul loc în lume din perspectiva apetitului atacatorilor pentru noi victime.

Gruparea Turla şi operaţiunea "Epic"
Experţii în domeniu avertizau, în iulie 2014, că Turla, Snake sau Uroboros reprezintă una dintre cele mai sofisticate campanii de spionaj cibernetic active la acel moment. Analizele celor de la Kaspersky asupra operaţiunii denumite atunci "Epic" sau "Epiccosplay" au scos la iveală faptul că acest ultim proiect reprezenta o parte esenţială a mecanismului de infectare a victimelor. Tehnicile de operare ale celor două grupări (Epic şi Turla) indicau că între acestea exista o relaţie de cooperare sau chiar că sunt una şi aceeaşi grupare.

Datele centralizate la acea vreme arătau că victimele proiectului 'Epic' aparţineau unor categorii, precum: organizaţii guvernamentale (ministere al Afacerilor Interne, ministere al Economiei şi Comerţului, ministere ale Afacerilor Externe, servicii de informaţii şi securitate), ambasade, armată, organizaţii din domeniul Cercetării şi al Educaţiei, companii farmaceutice.

Analiştii Kaspersky au descoperit că atacatorii Epic Turla foloseau în atacurile de tip "watering hole" atât exploit-uri de tip "Zero-day", cât şi strategii de social engineering pentru a infecta ţintele. 'Watering holes' sunt site-uri de mare interes pentru victime, ce au fost compromise în prealabil de către atacatori şi au fost programate să injecteze coduri periculoase (exploit-uri) atunci când sunt vizitate de posibile ţinte. În funcţie de diverşi parametri şi de adresa de IP (inclusiv din registrul guvernamental), aceste site-uri îi servesc vizitatorului exploit-uri Java sau IE, dar şi aplicaţii false Adobe Flash Player sau Microsoft Security Essentials.

"După compromiterea sistemului, atacatorii primesc informaţii succinte despre ţintă şi, pe baza acestora, livrează pachete de fişiere pre-configurate, care conţin o serie de comenzi ce trebuie executate in sistem. În plus, atacatorii încarcă instrumente speciale, pentru a obţine acces şi la alte sisteme în reţeaua victimei. Printre acestea se numără un keylogger dedicat, arhivatorul RAR şi alte utilitare standard, cum ar fi utilitarul DNS Query de la Microsoft", explicau experţii, în raportul publicat în urmă cu cinci ani.

Şi jocul continuă...
Lucrurile nu s-au oprit însă aici, fiind remarcate legături între operaţiunile Turla şi alte manevre de spionaj cibernetic. La începutul anului 2014, cei de la Kaspersky au observat că operatorii Miniduke foloseau aceleaşi adrese de internet de tip "web-shell" pe serverele infectate ca şi echipa Epic. În acest fel, o legătură a operaţiunii Epic cu Turla şi Miniduke sugera, totodată, posibili autori vorbitori de limbă rusă, dat fiind faptul că, de exemplu, panoul de comandă şi control al Epic seta pagina de cod 1251, care este folosită pentru caracterele chirilice.

Pe durata atacurilor repetate şi extrem de sofisticate, derulate de-a lungul anilor, începând din 2004, Grupul Turla a folosit furnizori de Internet localizaţi în ţări din Orientul Mijlociu şi Africa, precum: Liban, Congo, Libia, Nigeria. De ce acolo? Răspunsul experţilor este că sateliţii utilizaţi în aceste ţări nu acoperă, de regulă, Europa sau America de Nord, ceea ce face ca atacurile să fie dificil de investigat de către majoritatea cercetătorilor.

Victimele Turla au fost localizate în peste 45 de ţări, printre care SUA, Rusia, Kazahstan, China sau Vietnam, dar şi România, iar ţintele vizate reprezentau instituţii guvernamentale, militare, din domeniul educaţiei şi ambasade, dar şi companii farmaceutice şi de cercetare.

Conform datelor oficiale, în România au fost identificate 15 victime, printre care două ministere, două instituţii guvernamentale, companii private, precum şi utilizatori de Internet rezidenţial sau mobil.

Povestea atacurilor Grupului Turla se pare că nu are un final, întrucât nu mai devreme de luna iulie a acestui an, experţii Kaspersky au descoperit o nouă campanie de malware derulată de către aceşti hackeri. Operaţiunea a fost botezată 'Topinambour'. În varianta actualizată, malware-ul este capabil să descarce şi să execute fişiere maliţioase pe sistemele compromise, iar, în mod identic cu campaniile anterioare, atacurile sunt îndreptate către organizaţii guvernamentale.

Pe acest subiect, CERT-RO arată, într-o informare, că pentru a se răspândi, virusul se foloseşte de kit-uri de instalare ale aplicaţiilor cunoscute, ca Softether VPN, psiphon3 sau activatoare Microsoft Office.

Precum un artist care doreşte să rămână în permanenţă în atenţia publicului şi să cucerească an de an topurile de specialitate, şi inamicii cibernetici sunt consecvenţi şi se reinventează. La fel se întâmplă şi în cazul Turla, care, prin mijloace mai mult sau mai puţin convenţionale, a reuşit să creeze un set de instrumente capabile să producă breşe de securitate importante pentru a obţine avantaje strategice.

În acest fel, cu fiecare an, spaţiul virtual devine un teren minat din care scapă cine... este mai abil. AGERPRES/(AS - autor: Daniel Badea, editor: Mariana Nica, editor online: Irina Giurgiu)