Эксперты в области компьютерной безопасности полагают, что группа хакеров, действующая в интересах российского правительства, использует спутники, которые покрывают территорию Африки и Ближнего Востока, в целях сокрытия источников кибератак. Об этом пишет газета The Financial Times. Обзор этой публикации приводит портал InoPressa.
По данным издания, злоумышленники используют для атак троян Turla, также известный под названиями "Змея" и "Уроборос". Впервые этот троян был обнаружен в прошлом году. С его помощью хакеры атаковали сети госструктур США, стран Евросоюза и Украины. По мнению экспертов, за его созданием стоят российские хакеры.
Как следует из отчета, опубликованного "Лабораторией Касперского", кибергруппировка, использующая "Уроборос", применяет технику, которая практически не позволяет отследить источники атак. При помощи спутниковых коммуникаций хакеры успешно скрывают местоположение серверов, с которых осуществляется управление зараженными компьютерами.
В публикации FT отмечается, что для взлома хакеры используют тот факт, что большая часть исходящих сигналов коммерческих спутников не шифруется, и это позволяет перехватить их. После взлома спутник начинает транслировать команды хакеров. В любой точке его зоны покрытия может находиться потайной приемник, установленный группировкой для перехвата сигналов.
Весь процесс состоит из нескольких этапов. Сначала атакующие "слушают" трафик, исходящий от спутника, чтобы определить, какие IP-адреса в настоящее время находятся онлайн. Затем злоумышленники выбирают IP-адрес, который будет использоваться для маскировки их сервера. После этого зараженные трояном компьютеры получают команду на отправку данных на выбранный IP-адрес. Эти данные проходят через традиционные каналы к оператору спутникового интернета, а затем через спутник попадают к ничего не подозревающему пользователю.
Эксперты компании установили, что атакующие отправляли данные на IP-адреса из Афганистана, Ливана, Конго, Ливии, Нигера, Нигерии, Сомали и Замбии. Спутники, которые использовались для атак, чаще всего не покрывают страны Европы и Северной Америки, что делает невозможным расследование этих атак экспертами по безопасности, находящимися в других регионах.
"Нам уже встречались по меньшей мере три разные кибергруппировки, которые также использовали спутниковый интернет для маскировки своих операций. Однако вариант, который выбрала Turla, является наиболее интересным и необычным. С помощью своей тактики они добились максимального уровня анонимности, используя в общем-то широко распространенные технологии. Атакующие могут быть где угодно, поскольку территория, покрываемая спутником, может превышать тысячи квадратных километров. Так что отследить их практически невозможно", - отметил старший антивирусный эксперт "Лаборатории Касперского" Стефан Танасе.
На канале антивирусной компании в YouTube был опубликован ролик, описывающий схему работы хакеров.
Исправить уязвимость спутников, которую используют хакеры, довольно сложно, отмечается в статье FT. Для этого операторам необходимо ввести в строй новые спутники, а этот процесс займет не один год.