Die Turla-APT-Gruppe, auch unter den Namen Snake und Uroboros bekannt, ist einer der best entwickelten digitalen Angreifer weltweit. Diese Cyber-Spione sind schon über acht Jahre aktiv, doch bis zum vergangenen Jahr wussten wir nur wenig über ihre Aktivitäten – dann veröffentlichten wir unsere Foschungsarbeit zu Epic Turla.
Diese Arbeit enthielt Beispiele von Sprachartefakten, die zeigen, dass zumindest Teile der Turla-Gruppe Russisch sprechen. Diese Gruppenmitglieder verwenden codepage 1251, das üblicherweise genutzt wird, um kyrillische Buchstaben anzuzeigen, sowie Wörter wie“Zagruzchik“, dem russischen Ausdruck für „Boot Loader“.
Was die Turla-Gruppe so besonders gefährlich und schwer zu fassen macht, ist nicht nur die Komplexität der von ihr genutzten Tools, sonderen der besondere Satelliten-basierte Command-and-Control-Mechanismus (C&C), der in der Endphase eines Angriffs implementiert wird.
@Securelist shares new research on the initial stages of the cyber-espionage campaign Turla AKA Snake or Uroburos. http://t.co/KvHD7nOEfa
— Kaspersky (@kaspersky) August 7, 2014
Die C&C-Server sind die Basis für eine hochentwickelte Cyber-Attacke. Gleichzeitig sind sie aber auch das schwächste Glied in der schädlichen Infrastruktur, da sie laufend von digitalen Detektiven und Strafverfolgungsbehörden gesucht, gefunden und ausgehebelt werden.
Dafür gibt es zwei gute Gründe: Zum einen werden diese Server genutzt, um die schädlichen Aktionen zu kontrollieren. Wenn man diese Server abschalten kann, stört oder beendet man sogar alle Aktivitäten der Cyberkriminellen. Zum anderen können die C&C-Server verwendet werden, die Täter aufzuspüren und zu verhaften.
Deshalb versuchen Cyberkriminelle, ihre C&C-Server so gut wie möglich zu verstecken. Die Turla-Gruppe hat dafür nun einen effektiven Weg gefunden: Sie verbergen die IP-Adressen der Server im Himmel.
Epic Turla:massive #cyberespionage operation penetrates EU/Mideast spy agencies via @kaspersky http://t.co/vmWvteVmq1 pic.twitter.com/1wuNL7SoFn
— Adolfo Hernández (@Adolfo_Hdez) August 8, 2014
Eine der am weitesten verbreiteten und günstigsten satellitenbasierten Internetverbindungen ist eine reine Downstream-Verbindung. In diesem Fall wird der vom Nutzer ausgehende Datenverkehr (Upstream) über konventionelle Wege gesendet (Kabel oder drahtlos), während der eingehende Datenverkehr (Downstream) vom Satelliten kommt.
Allerdings hat diese Technologie eine Eigenheit: Der gesamte eingehende Datenverkehr kommt unverschlüsselt vom Satelliten zum PC. Damit kann jeder den Datenverkehr abhören. Die Turla-Gruppe nutzt diese Lücke auf neue und recht interessante Art: Sie verstecken damit ihren C&C-Verkehr.
Cyber-Spione #Turla missbrauchen Satelliten
Tweet
So gehen die Cyberkriminellen dabei vor:
- Sie hören den Downstream des Satelliten ab, um aktive IP-Adressen von Satelliten-basierten Internet-Nutzern zu identifizieren, die gerade online sind.
- Dann wählen sie ohne Wissen der Nutzer eine Reihe aktiver IP-Adressen aus, die für die Maskierung eines C&C-Servers verwendet werden.
- Die von Turla infizierten Computer bekommen die Anweisung, all ihre Daten zu den ausgewählten IP-Adressen zu senden. Die Daten kommen über konventionelle Wege zum Satelliten und schließlich vom Satelliten zu den ausgewählten IP-Adressen.
- Diese Daten werden von den PCs der Anwender als Müll fallen gelassen, während die Cyberkriminellen aber den Downstream der Satelliten-Verbindung abhören können und so ihre Daten bekommen.
Da solche Satelliten-Downstreams ein großes Gebiet abdecken, ist es unmöglich, herauszubekommen, wo genau die Täter sitzen. Und dieses Katz-und-Maus-Spiel wird noch schwieriger, da die Turla-Gruppe dazu tendiert, Internet-Anbieter aus dem Nahen Osten und aus afrikanischen Ländern wie Kongo, Libanon, Libya, Niger, Nigeria, Somalia und die Vereinten Arabischen Emirate auszunuten.
Die Satellitenstrahlen, die von den Netzbetreibern in diesen Ländern genutzt werden, decken Europa und Nordamerika normalerweise nicht ab, so dass es für die meisten Sicherheitsforscher sehr schwer wird, die Angriffe zu untersuchen.
Die Hintermänner von Turla haben Hunderte von Computern in über 45 Ländern infiziert, inklusive Kasachstan, Russland, China, Vietnam und den USA. Die Turla-Gruppe interessiert sich bei ihren Spionage-Aktionen vor allem für Regierungseinrichtungen, Botschaften, Miltäreinrichtungen, Schulungsorganisationen sowie Forschungs- und pharamzeutische Firmen.
Das war die schlechte Nachricht. Die gute Nachricht ist, dass die Nutzer der Kaspersky-Lösungen vor der Schad-Software und den Turla-Angriffen geschützt sind.