Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 32 reacties

De Russische hackergroepering Turla kaapt satellietverbindingen voor zijn command-&-control-infrastructuur, beweert beveiligingsbedrijf Kaspersky na onderzoek. Op deze manier maakt de groep het vrijwel onmogelijk dat de beheerserver getraceerd wordt.

De Turla-groepering monitort downstreamverbindingen van satellieten met antennes om actieve ip-adressen te identificeren van internetgebruikers die hun verbinding via satelliet laten lopen. De groep zet de gevonden adressen in om die van een c&c-server te maskeren. Data van bijvoorbeeld botnets lopen vervolgens via die ip-adressen via de satelliet. De hackers kunnen het ip-adres waar het verkeer heen moet aanpassen dankzij het gebruik van dynamic dns hosting. Het systeem van de internetter negeert de data, maar de Turla-groep kan het oppikken vanaf de downstreamverbinding van de satelliet.

Internetters in bijvoorbeeld afgelegen gebieden maken vaak gebruik van verbindingen via satellieten voor downstream-only, vanwege de relatief lage kosten. Hierbij gaat uitgaand verkeer van het systeem van de gebruiker via normale bedrade lijnen, maar inkomend verkeer komt via de satelliet. Deze verbindingen zijn echter niet versleuteld en kunnen dus onderschept worden.

Turla mikt vooral op ip-adressen van aanbieders van satellietinternet in het Midden-Oosten en Afrika, claimt Kaspersky. Die satellieten bedienen vaak geen Europees of Amerikaans gebied, waardoor de c&c-servers moeilijker te lokaliseren zijn. Criminele groeperingen maken meestal gebruik van proxy's om hun beheerserver achter te verstoppen, maar volhardende opsporingsinstanties kunnen desondanks vaak achter de locatie bij het hostingbedrijf komen.

Turla zou zich met name op overheidsorganisaties, onderwijsinstellingen en onderzoeksbedrijven richten, beweert Kaspersky. Het securitybedrijf verklaarde eerder al dat de groep gebruik maakt van complexe malwaretools.

Turla satelliet

Moderatie-faq Wijzig weergave

Reacties (32)

Als alleen downstream van de satelliet gebruik wordt gemaakt en upstream packets gewoon via bedrade netwerken gaan dan zijn de hackers toch nog steeds gemakkelijk te localiseren?
Probleem is echter dat het teruggaande verkeer vervalste afzender IP adressen heeft. Ofwel in het bovenstaande plaatjes stap 4, wordt niet het werkelijke IP adres gebruikt maar een vals IP adres, namelijk die van de de achteloze sateliet-internetter.

Dat heeft twee voordelen:
1) het verkeer komt terug bij de besmette computer
2) vanaf de besmette computer lijkt het alsof het van de sateliet internetter komt.

Je hebt echter gelijk als je verder terug gaat in de keten / dieper in de paketjes gaat kijken, je zult zien dat er wat mis is. Alleen kiezen deze criminelen uiteraard een netwerk uit waar weinig controle is (Rusland). Plus men gebruikt allerlei proxies etc om het uitgaande verkeer (stap 4) verder te maskeren waardoor het terug herleiden lastig is.

Maar het kan wel als je ťcht op zoek gaat inderdaad, ťn voldoende capaciteiten hebt (denk aan internationale organsiaties als de FBI, Kaspersky, etc)
Als ik stap 3 bekijk, kan ik concluderen dat de communicatie waarschijnlijk via UDP verloopt. Een geweigerde TCP verbinding verstuurt namelijk actief een weigering en daarom moet het dus via een ander protocol verlopen. Vandaar waarschijnlijk UDP. In een UDP pakket hoeft niet per sť het verzendende IP adres te staan -- immers connectionless protocol. Daarmee kan dus in principe het "gekaapte" IP adres als verzender gebruikt worden. (Dit word in principe sowiso toegepast op satteliet internet, aangezien men de downstream van de satteliet wil gebruiken en niet het IP adres van de inbelverbinding)
Je hebt gelijk dat UDP een goede optie is (had ik niet aan geacht), doch TCP kan ook daar de meeste firewalls express ook geen weigering sturen om scanning te voorkomen. Men noemt dat ook wel 'stealth' modus.
Je kan dus ook een SYN doen van IPc&c naar IPonschuldig (die spoofd alsof ie van IPafrika komt). De ACK wordt teruggestuurd via de sateliet naar IPafrika en dat wordt afgeluisterd. De rate en de IP adressen van de onschuldigen zijn al communicatiekanaal genoeg.

edit: Ga jij een synflood van 10 packets per seconde na? Of ga jij je firewall anders configureren?

Ik zeg: BCP38.

[Reactie gewijzigd door cbravo2 op 9 september 2015 20:19]

Upstream gaat dan dus waarschijnlijk ook als downstream naar de cliŽnt en de upstream vanaf de cliŽnt gaat vervolgens downstream naar de hackers. Het werkt uiteindelijk beide kanten op. Elke downstream is per definitie namelijk ook gelijk een upstream.
Maar de bestanden die in stap 5 worden gedownload zijn dan toch wel traceerbaar?
Klopt, deze truc is er op gericht de command en control systemen te verbergen.

In dit plaatje is heeft men de command en control servers en servers waar de gejatte data heen gaat dezelfde gemaakt, maar in de praktijk is dat niet zo. De servers waar de data heen gaat zijn namelijk ook vaak servers waar ingebroken is, en worden dan ook voortdurend gewijzigd ... via die command and control servers.

Zolang de command and control servers telkens nieuwe opdrachten en nieuwe upload server adressen kan doorgeven blijft een botnet dus bestaan. Vandaar dat het ontmaskeren of vanuit de criminelen gezien, verbergen van de command and control servers zo belangrijk is.

Merk verder op dat in stap 4, een goede router (en bijbehorende systemen) ook al alarm zou kunnen slaan. Immers er komen paketjes met een zogenaamd afzender IP adres wat niet toegewezen is aan die specifieke client.

Maar aangezien de hacker zelf vrijheid heeft in de keuze voor uitgaande netwerken (stap 4) etc is dat vooral ook een keuze van een systeem kiezen dat niet controleert.
Die data kan versleuteld zijn, dus onleesbaar gemaakt worden. En het lijkt me ook logisch dat de data verstuurd wordt op dezelfde manier zoals met de 'phone home' functie gedaan wordt, zodat er nooit directe communicatie plaatsvindt tussen een geinfecteerd systeem en de C&C- server.
Oplossing is dus het inkomend verkeer versleutelen, of is dat nou te makkelijk gedacht?
Dit is idd te makkelijk gedacht. Er is geen inkomend verkeer op de desbetreffende satelliet.

Alleen data die verzonden word naar de eindgebruiker.

Dus doormiddel van een dns spoof of MItM aanval is dit makkelijk te maskeren.
Dat klopt, maar dat is maar de halve truc. De kwetsbaarheid zit hem in het binnenkomend signaal.

De truc is namelijka ls volgt: men maakt gebruik van het systeem dat een sateliet broadcast doet op het carrier signaal. Normaal heb je met netwerken namelijk het probleem dat een IP paketje enkel geroute wordt naar het netwerk waar het heen moet. Wil je als hacker dus toegang tot die data krijgen moet je of (ala de NSA, AIVD, etc) toegang hebben tot de backbones etc of het verkeer weten om te routen. Moeilijk en/of makkelijk te detecteren.

Bij sateliet echter wordt het IP paketje (via het sateliet carrier signaal) uitgestraald over de gehele regio en filtert de inkomende aparatuur pas. Ofwel jouw buren krijgen ook jouw IP verkeer plus iedereen die maar een sateliet ontvanger de hemel in wijst. En daar maken de hackers gebruik van.

Waarschijnlijk is er wel een vorm van encryptie zodat enkel mensen die een abbonement of op zijn minst dezelfde apparatuur hebben kunnen lezen, maar deze is dus niet individueel.

Zou men een individuele encryptie gebruiken zou deze truc niet werken, want zou de hacker de data zoals uitgestraald door de sateliet niet kunnen ontsleutelen.
Ik wist niet dat dit zo werkte. Is het niet mogelijk om een encryptie te geven per pakket die uitgezonden word?
Hoeft niet eens perse per pakket. Het kernprobleem is dat abbonee A de data van abbonee B kan ontsleutelen/uitlezen. Als de sateliert provider de IP stroom of het carrier signaal waarover de IP stroom loopt zou versleutelen via een unieke sleutel is het probleem opgelost.

De reden waarom dit niet gebeurd is ongetwijfeld technische moeilijkheid en kosten.


Als neven-probleem is hier ook nog eens dat abbonee B de data van abbonee A kan lezen. Dus men kan ook zien welke internet pagina's jij leest etc. Nu zal abbonee B dat niet zo snel doen, en ook deze hackers zijn waarschijnlijk niet geintereseerd, maar een veiligheidsdienst ... Zeker omdat we hier spreken van afgelegen gebieden in iets minder democratisch ontwikkelde landen.

Als ik dus een sateliet-internetter was, zou ik een VPN gebruiken. Dat lost dit probleem niet op omdat het niet verhindert dat de hackers onversleuteld verzenden, maar zorgt er in ieder geval voor dat mijn echte internet verkeer versleuteld is.
Goede/duidelijke reacties elke keer _/-\o_ Absoluut de karmakeizer 'Beheer en beveiliging' waardig!
Vind ik ook. Kan dit niet veel vaker gedaan worden op tweakers? Nuttig, informatief en de reacties zijn nog beter.

Heerlijk!
Hoeft niet eens perse per pakket. Het kernprobleem is dat abbonee A de data van abbonee B kan ontsleutelen/uitlezen. Als de sateliert provider de IP stroom of het carrier signaal waarover de IP stroom loopt zou versleutelen via een unieke sleutel is het probleem opgelost.

De reden waarom dit niet gebeurd is ongetwijfeld technische moeilijkheid en kosten.


Als neven-probleem is hier ook nog eens dat abbonee B de data van abbonee A kan lezen. Dus men kan ook zien welke internet pagina's jij leest etc. Nu zal abbonee B dat niet zo snel doen, en ook deze hackers zijn waarschijnlijk niet geintereseerd, maar een veiligheidsdienst ... Zeker omdat we hier spreken van afgelegen gebieden in iets minder democratisch ontwikkelde landen.

Als ik dus een sateliet-internetter was, zou ik een VPN gebruiken. Dat lost dit probleem niet op omdat het niet verhindert dat de hackers onversleuteld verzenden, maar zorgt er in ieder geval voor dat mijn echte internet verkeer versleuteld is.
Bedankt voor de heldere uitleg! Topper :)
zou je denken ja..
het is trouwens best grappig om met een DVB-S2 kaart zo`n datastroom te bekijken...
Inderdaad, gewoon met wireshark even je capture doorkijken en je ziet een hele hoop...

Voor een klein beetje howto: https://wiki.wireshark.org/DVB-S2
t kan nog makkelijker .. zonder wireshark... maar met een andere app... alleen ik weet de naam er niet meer van ( gezien de kaart al 3 jaar ongebruikt in de kast ligt.. gezien ik geen schotel kan plaatsen bij deze woning :( )
De omschreven truuk is overigens al enige tijd oud...

Zie ook deze manual uit 2010: https://www.blackhat.com/...aying-with-SAT-1.2-wp.pdf
IDD , grote schijf laten vollopen van satelliet data een paar uur en dan gaan kijken welke voltooide files je had gevangen .
Raar toen in de tijd , meeste mp3 maar had de indruk dat porno via satelliet op de 2 de plaats kwam in data vorm , he he .
Vroeger was satelliet data blijkbaar open en bloot .
DVB'S kaartje in je pc , schotel er aan , richten op de juiste satelliet en progje , en je alles kwam naar je pc , en dan bedoel ik alles en ook alles tegelijk daarom moest je een schijf laten vollopen en nadien gaan loeren wat je gevangen had
Indeedaad. Van de ratten besnuffeld om de halve internetcerbinding van je klanten onbeveiligd te broadcasten over een gebied ter grootte van Frankrijk
Het gebied waarover dit wordt gebroadcast is vele malen groter als Frankrijk...
En als je gebruik maakt van dit soort verbindingen in europa moet je niet raar kijken als je data over geheel europa wordt gebroadcast...
Weer een reden om standaard encryptie te gebruiken op alle internetverkeer.
Dan is hooguit jouw verkeer encrypted, helaas zijn de DVB packets en de IP laag nog steeds kwetsbaar. Wat mijn inziens een oplossing zou zijn is dat deze data op de DVB laag al encrypted zou zijn. Dit kan ook best met een klant unieke key op een smartcard bijvoorbeeld. Ze kunnen TV ook encrypten / decrypten met een smartcard aan de klantzijde dus dat kan met internet verkeer ook.

Wel is het natuurlijk zo dat dit geld kost en dit moet de provider natuurlijk ergens gaan doorberekenen.

SAT verbindingen zijn al redelijk prijzig en hierdoor lopen de kosten dus alleen maar verder op...
Hoeveel apparatuur moet je daar wel niet voor hebben?
En als je dat aanschaft, dan gaan er toch minstens een paar alarmbellen rinkelen of niet?
Bij dit soort methodes zou ik eerder aan overheden denken die dit direct of indirect betalen, geheime diensten bijv of dochter-instanties daarvan.
Inderdaad en de claim dat een Russische partij de enigste is die interesse heeft is te kort door de bocht.

Midden- en West-Afrika kent een paar geheimen die zeer interessant zijn voor heel veel landen. Een land als Nigeria heeft bijvoorbeeld meer dan 150 mln mensen en daarnaast nog heel veel grondstoffen die gewonnen kunnen worden. Olie is bekend, maar ook andere stoffen behoren tot de mogelijkheden die niet eens bekend zijn. Er kan daar een nieuwe middenklasse/elite ontstaan relatief dicht bij Europa.

SiŽrra Leone staat bekend om zijn oorlog, bloeddiamanten, maar daar blijkt dus nog meer zaken in de grond te liggen wat interessant zijn. Zo wordt er steeds meer ijzererts uit de grond gehaald, waarbij er grote interesse is om zogeheten zeldzame metalen te scheiden.

Niger staat bekend om zijn plutonium.

Dat een Russische partij een mogelijkheid heeft gevonden om mee te doen is niet onmogelijk, dat de rest het niet doet is onmogelijk.
Veel gebruikers van satelliet internet hebben de afgelopen maanden ervaren dat de snelheid van satelliet internet lager was dan gebruikelijk. Een verklaring voor het snelheidsverlies was dat de automatische download van Windows 10 veel bandbreedte opsnoepte. Misschien ligt de oorzaak toch ergens anders ...
Ook geen slechte techniek tijdens een Cyberwar.Alleen al vanwege de plausible deniabillity.
"Houston, this is Ivan" }>

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True