'Russische hackgroepering kaapt satellietverbindingen'

De Russische hackergroepering Turla kaapt satellietverbindingen voor zijn command-&-control-infrastructuur, beweert beveiligingsbedrijf Kaspersky na onderzoek. Op deze manier maakt de groep het vrijwel onmogelijk dat de beheerserver getraceerd wordt.

De Turla-groepering monitort downstreamverbindingen van satellieten met antennes om actieve ip-adressen te identificeren van internetgebruikers die hun verbinding via satelliet laten lopen. De groep zet de gevonden adressen in om die van een c&c-server te maskeren. Data van bijvoorbeeld botnets lopen vervolgens via die ip-adressen via de satelliet. De hackers kunnen het ip-adres waar het verkeer heen moet aanpassen dankzij het gebruik van dynamic dns hosting. Het systeem van de internetter negeert de data, maar de Turla-groep kan het oppikken vanaf de downstreamverbinding van de satelliet.

Internetters in bijvoorbeeld afgelegen gebieden maken vaak gebruik van verbindingen via satellieten voor downstream-only, vanwege de relatief lage kosten. Hierbij gaat uitgaand verkeer van het systeem van de gebruiker via normale bedrade lijnen, maar inkomend verkeer komt via de satelliet. Deze verbindingen zijn echter niet versleuteld en kunnen dus onderschept worden.

Turla mikt vooral op ip-adressen van aanbieders van satellietinternet in het Midden-Oosten en Afrika, claimt Kaspersky. Die satellieten bedienen vaak geen Europees of Amerikaans gebied, waardoor de c&c-servers moeilijker te lokaliseren zijn. Criminele groeperingen maken meestal gebruik van proxy's om hun beheerserver achter te verstoppen, maar volhardende opsporingsinstanties kunnen desondanks vaak achter de locatie bij het hostingbedrijf komen.

Turla zou zich met name op overheidsorganisaties, onderwijsinstellingen en onderzoeksbedrijven richten, beweert Kaspersky. Het securitybedrijf verklaarde eerder al dat de groep gebruik maakt van complexe malwaretools.

Turla satelliet

IT-banen

Reacties (32)

Juup 9 september 2015 19:16

Als alleen downstream van de satelliet gebruik wordt gemaakt en upstream packets gewoon via bedrade netwerken gaan dan zijn de hackers toch nog steeds gemakkelijk te localiseren?

Armin

Netwerk en systeembeheer

@Juup • 9 september 2015 19:42

Probleem is echter dat het teruggaande verkeer vervalste afzender IP adressen heeft. Ofwel in het bovenstaande plaatjes stap 4, wordt niet het werkelijke IP adres gebruikt maar een vals IP adres, namelijk die van de de achteloze sateliet-internetter.

Dat heeft twee voordelen:
1) het verkeer komt terug bij de besmette computer
2) vanaf de besmette computer lijkt het alsof het van de sateliet internetter komt.

Je hebt echter gelijk als je verder terug gaat in de keten / dieper in de paketjes gaat kijken, je zult zien dat er wat mis is. Alleen kiezen deze criminelen uiteraard een netwerk uit waar weinig controle is (Rusland). Plus men gebruikt allerlei proxies etc om het uitgaande verkeer (stap 4) verder te maskeren waardoor het terug herleiden lastig is.

Maar het kan wel als je écht op zoek gaat inderdaad, én voldoende capaciteiten hebt (denk aan internationale organsiaties als de FBI, Kaspersky, etc)

--Andre-- @Juup • 9 september 2015 19:36

Als ik stap 3 bekijk, kan ik concluderen dat de communicatie waarschijnlijk via UDP verloopt. Een geweigerde TCP verbinding verstuurt namelijk actief een weigering en daarom moet het dus via een ander protocol verlopen. Vandaar waarschijnlijk UDP. In een UDP pakket hoeft niet per sé het verzendende IP adres te staan -- immers connectionless protocol. Daarmee kan dus in principe het "gekaapte" IP adres als verzender gebruikt worden. (Dit word in principe sowiso toegepast op satteliet internet, aangezien men de downstream van de satteliet wil gebruiken en niet het IP adres van de inbelverbinding)

Armin

Netwerk en systeembeheer

@--Andre-- • 9 september 2015 20:10

Je hebt gelijk dat UDP een goede optie is (had ik niet aan geacht), doch TCP kan ook daar de meeste firewalls express ook geen weigering sturen om scanning te voorkomen. Men noemt dat ook wel 'stealth' modus.

cbravo2 @--Andre-- • 9 september 2015 20:15

Je kan dus ook een SYN doen van IPc&c naar IPonschuldig (die spoofd alsof ie van IPafrika komt). De ACK wordt teruggestuurd via de sateliet naar IPafrika en dat wordt afgeluisterd. De rate en de IP adressen van de onschuldigen zijn al communicatiekanaal genoeg.

edit: Ga jij een synflood van 10 packets per seconde na? Of ga jij je firewall anders configureren?

Ik zeg: BCP38.

[Reactie gewijzigd door cbravo2 op 28 juli 2024 16:11]

mrdemc @Juup • 9 september 2015 19:48

Upstream gaat dan dus waarschijnlijk ook als downstream naar de cliënt en de upstream vanaf de cliënt gaat vervolgens downstream naar de hackers. Het werkt uiteindelijk beide kanten op. Elke downstream is per definitie namelijk ook gelijk een upstream.

nopcode 9 september 2015 18:38

Maar de bestanden die in stap 5 worden gedownload zijn dan toch wel traceerbaar?

Armin

Netwerk en systeembeheer

@nopcode • 9 september 2015 19:28

Klopt, deze truc is er op gericht de command en control systemen te verbergen.

In dit plaatje is heeft men de command en control servers en servers waar de gejatte data heen gaat dezelfde gemaakt, maar in de praktijk is dat niet zo. De servers waar de data heen gaat zijn namelijk ook vaak servers waar ingebroken is, en worden dan ook voortdurend gewijzigd ... via die command and control servers.

Zolang de command and control servers telkens nieuwe opdrachten en nieuwe upload server adressen kan doorgeven blijft een botnet dus bestaan. Vandaar dat het ontmaskeren of vanuit de criminelen gezien, verbergen van de command and control servers zo belangrijk is.

Merk verder op dat in stap 4, een goede router (en bijbehorende systemen) ook al alarm zou kunnen slaan. Immers er komen paketjes met een zogenaamd afzender IP adres wat niet toegewezen is aan die specifieke client.

Maar aangezien de hacker zelf vrijheid heeft in de keuze voor uitgaande netwerken (stap 4) etc is dat vooral ook een keuze van een systeem kiezen dat niet controleert.

Jaap-Jan @nopcode • 9 september 2015 19:17

Die data kan versleuteld zijn, dus onleesbaar gemaakt worden. En het lijkt me ook logisch dat de data verstuurd wordt op dezelfde manier zoals met de 'phone home' functie gedaan wordt, zodat er nooit directe communicatie plaatsvindt tussen een geinfecteerd systeem en de C&C- server.

Zawaponga 9 september 2015 18:04

Oplossing is dus het inkomend verkeer versleutelen, of is dat nou te makkelijk gedacht?

Verwijderd @Zawaponga • 9 september 2015 19:03

Dit is idd te makkelijk gedacht. Er is geen inkomend verkeer op de desbetreffende satelliet.

Alleen data die verzonden word naar de eindgebruiker.

Dus doormiddel van een dns spoof of MItM aanval is dit makkelijk te maskeren.

Armin

Netwerk en systeembeheer

@Verwijderd • 9 september 2015 19:20

Dat klopt, maar dat is maar de halve truc. De kwetsbaarheid zit hem in het binnenkomend signaal.

De truc is namelijka ls volgt: men maakt gebruik van het systeem dat een sateliet broadcast doet op het carrier signaal. Normaal heb je met netwerken namelijk het probleem dat een IP paketje enkel geroute wordt naar het netwerk waar het heen moet. Wil je als hacker dus toegang tot die data krijgen moet je of (ala de NSA, AIVD, etc) toegang hebben tot de backbones etc of het verkeer weten om te routen. Moeilijk en/of makkelijk te detecteren.

Bij sateliet echter wordt het IP paketje (via het sateliet carrier signaal) uitgestraald over de gehele regio en filtert de inkomende aparatuur pas. Ofwel jouw buren krijgen ook jouw IP verkeer plus iedereen die maar een sateliet ontvanger de hemel in wijst. En daar maken de hackers gebruik van.

Waarschijnlijk is er wel een vorm van encryptie zodat enkel mensen die een abbonement of op zijn minst dezelfde apparatuur hebben kunnen lezen, maar deze is dus niet individueel.

Zou men een individuele encryptie gebruiken zou deze truc niet werken, want zou de hacker de data zoals uitgestraald door de sateliet niet kunnen ontsleutelen.

Verwijderd @Armin • 9 september 2015 19:37

Ik wist niet dat dit zo werkte. Is het niet mogelijk om een encryptie te geven per pakket die uitgezonden word?

Armin

Netwerk en systeembeheer

@Verwijderd • 9 september 2015 19:48

Hoeft niet eens perse per pakket. Het kernprobleem is dat abbonee A de data van abbonee B kan ontsleutelen/uitlezen. Als de sateliert provider de IP stroom of het carrier signaal waarover de IP stroom loopt zou versleutelen via een unieke sleutel is het probleem opgelost.

De reden waarom dit niet gebeurd is ongetwijfeld technische moeilijkheid en kosten.

Als neven-probleem is hier ook nog eens dat abbonee B de data van abbonee A kan lezen. Dus men kan ook zien welke internet pagina's jij leest etc. Nu zal abbonee B dat niet zo snel doen, en ook deze hackers zijn waarschijnlijk niet geintereseerd, maar een veiligheidsdienst ... Zeker omdat we hier spreken van afgelegen gebieden in iets minder democratisch ontwikkelde landen.

Als ik dus een sateliet-internetter was, zou ik een VPN gebruiken. Dat lost dit probleem niet op omdat het niet verhindert dat de hackers onversleuteld verzenden, maar zorgt er in ieder geval voor dat mijn echte internet verkeer versleuteld is.

Cloud @Armin • 10 september 2015 09:07

Goede/duidelijke reacties elke keer $_/-\o_$ Absoluut de karmakeizer 'Beheer en beveiliging' waardig!

badabingbadaboo @Cloud • 10 september 2015 15:42

Vind ik ook. Kan dit niet veel vaker gedaan worden op tweakers? Nuttig, informatief en de reacties zijn nog beter.

Heerlijk!

Verwijderd @Armin • 9 september 2015 19:50

Hoeft niet eens perse per pakket. Het kernprobleem is dat abbonee A de data van abbonee B kan ontsleutelen/uitlezen. Als de sateliert provider de IP stroom of het carrier signaal waarover de IP stroom loopt zou versleutelen via een unieke sleutel is het probleem opgelost.

De reden waarom dit niet gebeurd is ongetwijfeld technische moeilijkheid en kosten.

Als neven-probleem is hier ook nog eens dat abbonee B de data van abbonee A kan lezen. Dus men kan ook zien welke internet pagina's jij leest etc. Nu zal abbonee B dat niet zo snel doen, en ook deze hackers zijn waarschijnlijk niet geintereseerd, maar een veiligheidsdienst ... Zeker omdat we hier spreken van afgelegen gebieden in iets minder democratisch ontwikkelde landen.

Als ik dus een sateliet-internetter was, zou ik een VPN gebruiken. Dat lost dit probleem niet op omdat het niet verhindert dat de hackers onversleuteld verzenden, maar zorgt er in ieder geval voor dat mijn echte internet verkeer versleuteld is.

Bedankt voor de heldere uitleg! Topper

SMSfreakie @Zawaponga • 9 september 2015 18:07

zou je denken ja..
het is trouwens best grappig om met een DVB-S2 kaart zo`n datastroom te bekijken...

Plopeye @SMSfreakie • 9 september 2015 21:34

Inderdaad, gewoon met wireshark even je capture doorkijken en je ziet een hele hoop...

Voor een klein beetje howto: https://wiki.wireshark.org/DVB-S2

SMSfreakie @Plopeye • 9 september 2015 21:40

t kan nog makkelijker .. zonder wireshark... maar met een andere app... alleen ik weet de naam er niet meer van ( gezien de kaart al 3 jaar ongebruikt in de kast ligt.. gezien ik geen schotel kan plaatsen bij deze woning

)

Plopeye @SMSfreakie • 9 september 2015 21:44

De omschreven truuk is overigens al enige tijd oud...

Zie ook deze manual uit 2010: https://www.blackhat.com/...aying-with-SAT-1.2-wp.pdf

Smollys @SMSfreakie • 10 september 2015 00:41

IDD , grote schijf laten vollopen van satelliet data een paar uur en dan gaan kijken welke voltooide files je had gevangen .
Raar toen in de tijd , meeste mp3 maar had de indruk dat porno via satelliet op de 2 de plaats kwam in data vorm , he he .
Vroeger was satelliet data blijkbaar open en bloot .
DVB'S kaartje in je pc , schotel er aan , richten op de juiste satelliet en progje , en je alles kwam naar je pc , en dan bedoel ik alles en ook alles tegelijk daarom moest je een schijf laten vollopen en nadien gaan loeren wat je gevangen had

t_captain @Zawaponga • 9 september 2015 18:12

Indeedaad. Van de ratten besnuffeld om de halve internetcerbinding van je klanten onbeveiligd te broadcasten over een gebied ter grootte van Frankrijk

Plopeye @t_captain • 9 september 2015 21:18

Het gebied waarover dit wordt gebroadcast is vele malen groter als Frankrijk...
En als je gebruik maakt van dit soort verbindingen in europa moet je niet raar kijken als je data over geheel europa wordt gebroadcast...

akooijman @Plopeye • 9 september 2015 23:14

Weer een reden om standaard encryptie te gebruiken op alle internetverkeer.

Plopeye @akooijman • 10 september 2015 08:15

Dan is hooguit jouw verkeer encrypted, helaas zijn de DVB packets en de IP laag nog steeds kwetsbaar. Wat mijn inziens een oplossing zou zijn is dat deze data op de DVB laag al encrypted zou zijn. Dit kan ook best met een klant unieke key op een smartcard bijvoorbeeld. Ze kunnen TV ook encrypten / decrypten met een smartcard aan de klantzijde dus dat kan met internet verkeer ook.

Wel is het natuurlijk zo dat dit geld kost en dit moet de provider natuurlijk ergens gaan doorberekenen.

SAT verbindingen zijn al redelijk prijzig en hierdoor lopen de kosten dus alleen maar verder op...

SiGNe 9 september 2015 22:00

Hoeveel apparatuur moet je daar wel niet voor hebben?
En als je dat aanschaft, dan gaan er toch minstens een paar alarmbellen rinkelen of niet?
Bij dit soort methodes zou ik eerder aan overheden denken die dit direct of indirect betalen, geheime diensten bijv of dochter-instanties daarvan.

Iblies @SiGNe • 9 september 2015 22:54

Inderdaad en de claim dat een Russische partij de enigste is die interesse heeft is te kort door de bocht.

Midden- en West-Afrika kent een paar geheimen die zeer interessant zijn voor heel veel landen. Een land als Nigeria heeft bijvoorbeeld meer dan 150 mln mensen en daarnaast nog heel veel grondstoffen die gewonnen kunnen worden. Olie is bekend, maar ook andere stoffen behoren tot de mogelijkheden die niet eens bekend zijn. Er kan daar een nieuwe middenklasse/elite ontstaan relatief dicht bij Europa.

Siërra Leone staat bekend om zijn oorlog, bloeddiamanten, maar daar blijkt dus nog meer zaken in de grond te liggen wat interessant zijn. Zo wordt er steeds meer ijzererts uit de grond gehaald, waarbij er grote interesse is om zogeheten zeldzame metalen te scheiden.

Niger staat bekend om zijn plutonium.

Dat een Russische partij een mogelijkheid heeft gevonden om mee te doen is niet onmogelijk, dat de rest het niet doet is onmogelijk.

Verwijderd 9 september 2015 18:03

Veel gebruikers van satelliet internet hebben de afgelopen maanden ervaren dat de snelheid van satelliet internet lager was dan gebruikelijk. Een verklaring voor het snelheidsverlies was dat de automatische download van Windows 10 veel bandbreedte opsnoepte. Misschien ligt de oorzaak toch ergens anders ...

zvbhvb 9 september 2015 18:05

Ook geen slechte techniek tijdens een Cyberwar.Alleen al vanwege de plausible deniabillity.

geke-sulen 9 september 2015 19:06

"Houston, this is Ivan"

Op dit item kan niet meer gereageerd worden.

'Russische hackgroepering kaapt satellietverbindingen'

Lees meer

IT-banen

Reacties (32)

Sorteer op:

Weergave: