Trong khi điều tra về nhóm gián điệp mạng khét tiếng mang tên Turla, các nhà nghiên cứu tại Kaspersky Lab đã phát hiện ra cách mà nhóm này che giấu hành vi và vị trí hoạt động ẩn danh, nhóm gián điệp này đã sử dụng điểm yếu bảo mật của mạng vệ tinh toàn cầu.
Turla là nhóm gián điệp mạng tinh vi đã hoạt động được hơn 8 năm. Tin tặc đứng sau cái tên Turla đã lây nhiễm hàng trăm máy tính trên hơn 45 quốc gia bao gồm Kazakhstan, Nga, Trung Quốc, Việt Nam và Hoa Kỳ. Tổ chức bị ảnh hưởng bao gồm các tổ chức chính phủ và lãnh sự quán cũng như các tổ chức quân đội, giáo dục, nghiên cứu và công ty dược phẩm.
Vào giai đoạn đầu tiên – Epic – nhóm này tiến hành thu thập thông tin nạn nhân. Đối với các mục tiêu cấp cao, tin tặc sử dụng cơ chế liên lạc mở rộng bằng vệ tinh vào các giai đoạn sau của cuộc tấn công, nhằm xóa đi dấu vết.
Vệ tinh viễn thông phần lớn được biết đến như công cụ để phát sóng truyền hình và thông tin liên lạc an toàn, cũng được dùng để kết nối mạng Internet. Những dịch vụ này được sử dụng chủ yếu ở những địa điểm xa có kết nối Internet chậm và không ổn định, hoặc chưa có. Một trong những loại kết nối Internet sử dụng vệ tinh phổ biến và rẻ nhất là kết nối chỉ tải xuống.
Trong trường hợp này, yêu cầu được gửi đi từ máy tính người dùng đến vệ tinh bằng cách thông thường (kết nối dây hoặc GPRS). Công nghệ này cho phép người dùng nhận tốc độc tải xuống khá nhanh. Tuy nhiên, nó có một nhược điểm lớn: tất cả lưu lượng tải xuống máy tính không được mã hóa. Bất kì người dùng giả mạo nào với thiết bị và phần mềm đơn giản cũng có thể ngăn chặn sự lưu thông và truy cập vào tất cả dữ liệu người dùng đang tải xuống.
Nhóm gián điệp Turla lợi dụng nhược điểm này theo một cách khác: sử dụng nó để giấu vị trí máy chủ điều khiển theo lệnh (C&C), một trong những phần quan trọng nhất của hệ thống độc hại. Máy chủ C&C là “nhà” cho phần mềm độc hại được triển khai trên máy tính mục tiêu. Phát hiện vị trí của loại máy chủ này giúp mở ra nhiều thông tin về kẻ đứng sau, và đây là cách mà nhóm Turlar ngăn chặn rủi ro:
1. Đầu tiên, nhóm này “nghe” luồng dữ liệu tải xuống từ vệ tinh để xác định địa chỉ IP của người dùng Internet vệ tinh đang hoạt động tại thời điểm đó.
2. Sau đó, những kẻ này chọn một địa chỉ IP để che giấu máy chủ C&C của mình mà người dùng không hề hay biết.
3. Máy tính bị nhóm Turla lây nhiễm sẽ xuất dữ liệu về địa chỉ IP được chọn từ người dùng Internet thường xuyên. Dữ liệu đi đến cổng vệ tinh Internet bằng cách thông thường, sau đó đi đến vệ tinh và cuối cùng, từ vệ tinh về lại người dùng với địa chỉ IP đã được chọn.
Thú vị là người dùng hợp pháp có địa chỉ IP bị tin tặc lợi dụng để nhận dữ liệu từ máy tính bị nhiễm độc cũng nhận được gói tin dữ liệu nhưng họ hiếm khi để ý đến chúng. Đây là do tin tặc Turla lệnh cho các máy bị lây nhiễm gửi dữ liệu đến các cổng phần lớn đều bị mặc định là đóng. Vì vậy, máy tính của người dùng bỏ qua những gói tin này, trong khi máy chủ C&C của Turla vẫn giữ cổng mở và sẽ nhận và truy cập vào dữ liệu được xuất ra.
Một điểm thú vị khác ở nhóm gián điệp Turla là chúng có khuynh hướng sử dụng nhà cung cấp kết nối Internet vệ tinh tại Trung Đông và châu Phi. Trong nghiên cứu của mình, các chuyên gia Kaspersky Lab đã phát hiện nhóm Turla sử dụng IP của nhà cung cấp đặt tại các nước như Congo, Lebanon, Libya, Niger, Nigeria, Somalia hay Các tiểu vương quốc Ả Rập thống nhất.
Chùm vệ tinh được các nhà khai thác sử dụng ở những nước này thường không bao gồm vùng lãnh thổ châu Âu và Bắc Mỹ, làm cho việc điều tra các cuộc tấn công như vậy rất khó khăn đối với hầu hết các nhà nghiên cứu bảo mật.
Stefan Tanase, Nhà Nghiên cứu an ninh cấp cao, Kaspersky Lab cho biết: “Trước đây, chúng tôi đã từng thấy ít nhất 3 cái tên sử dụng liên kết Internet sử dụng vệ tinh để che giấu hoạt động. Trong số này, cách mà nhóm gián điệp Turla sử dụng là khác thường và thú vị nhất. Những kẻ này có thể đạt đến cấp độ nặc danh cao nhất bằng cách khai thác công nghệ được sử dụng rộng rãi: Internet vệ tinh một chiều. Tin tặc có thể ở khắp mọi nơi trong vùng vệ tinh được chọn, ở khu vực mà có thể mở rộng ra hàng ngàn km2. Điều này khiến việc lần theo dấu vết chúng là không thể. Khi phương pháp này trở nên phổ biến hơn, việc quản trị viên triển khai các chiến lược phòng thủ đúng đắn để giảm thiểu các cuộc tấn công như vậy là rất cần thiết”.
Sản phẩm của Kaspersky Lab đã phát hiện và ngăn chặn thành công phần mềm độc hại Turla đã sử dụng dưới những tên sau đây: Backdoor.Win32.Turla.*; Rootkit.Win32.Turla.*; HEUR:Trojan.Win32.Epiccosplay.gen; HEUR:Trojan.Win32.Generic.
