20:00
9/9/2015

Kiedy jesteś przestępcą i wykradasz dane z cudzych serwerów, musisz je gdzieś skopiować. Jeśli zgrasz je bezpośrednio na swój komputer — znajdą Cię. Jeśli wynajmiesz serwer (VPS) w jakiejś serwerowni i dodatkowo schowasz się za kilkoma serwerami proxy, wytrwali śledczy także prędzej czy później do Ciebie dotrą. Czy jest więc sposób na pobranie wykradzionych danych w sposób, który nie zdradzi Twojej lokalizacji i tożsamości? Okazuje się że tak… i od 2007 roku korzysta z niego jeden z gangów pracujący najprawdopodobniej dla rosyjskiego rządu.

Hackowanie połączeń satelitarnych

Internet może docierać do użytkowników na wiele sposobów. Jednym z nich jest połączenie satelitarne. Specyfika tego połączenia (używanego od ponad 20 lat) daje idealne warunki osobom, które chciałyby niepostrzeżenie odebrać informacje tak, aby nie zdradzić swojej tożsamości. Satelita pokrywa bowiem swoim zasięgiem spory obszar geograficzny (czasem kilka krajów równocześnie).

Na czym polega połączenie z internetem przez satelitę? Użytkownik połączenia satelitarnego odbiera z satelity sygnał, który jest tzw. downlinkiem — czyli danymi wysyłanymi do użytkownika. Uplink, czyli dane wysyłane od użytkownika z reguły są transmitowane poprzez linię telefoniczną (tu nie jest wymagana duża przepustowość). Specyfika takiej wymianu ruchu wymusza brak szyfrowania połączenia. Krótko mówiąc — to co satelita przesyła dla danego adresu IP, może zostać odebrane (czyt. podsłuchane) przez dowolną osobę, która znajduje się na obszarze nadawania satelity i dysponuje odpowiednim sprzętem (tj. anteną i modemem DVB-S, np. kartą TBS-6922SE).

satellite_Internet_eng_4

Z tego faktu korzystają rosyjscy przestępcy internetowi, którzy aby zachować anonimowość w trakcie odbierania wykradanych danych postępują w następujący sposób:

    1. Tworzą złośliwe oprogramowanie, które po infekcji ofiary transferuje wykradane dane pod zakodowany w trojanie (lub wyliczany dynamicznie) adres domenowy.

    2. Adres domenowy, dzięki rekonfiguracji serwera DNS (por. Fast Flux), może w jednej chwili wskazywać na jakiś adres IP (konkretny host) a parę minut później na kolejny. Problem w tym, że badacze bezpieczeństwa mogą zwracać się do operatorów/właścicieli tych hostów (zazwyczaj serwerowni wynajmujących VPS-y) i wygaszać dane maszyny, paraliżując prace przestępczego botnetu. Ale można to obejść: przestępcy wskazują jako hosta adres IP abonenta łącza satelitarnego z obszaru, w którym się znajdują, wcześniej prowadząc nasłuch w celu namierzenia obecnie aktywnych abonentów do których satelita wysyła dane.

    3. Zainfekowana ofiara wysyła więc dane na adres IP niczego nieświadomego klienta łącza satelitarnego. Ponieważ modem klienta nie spodziewa się połączenia przychodzącego na wybrany przez atakujących port (zazwyczaj zamknięty), to po prostu je odrzuca. Abonent nie zauważa (dopóki nie zajrzy w logi modemu) niczego podejrzanego.

    4. Przestępcy w tym samym czasie prowadzą nasłuch i odczytują wszystkie dane, które złośliwe oprogramowanie wyprowadza z komputera ofiary i przesyła na adres IP zupełnie przypadkowego abonenta łącza satelitarnego. Po wykryciu odpowiedniego pakietu (dropowanego przez modem abonenta łącza satelitarnego) przestępcy spoofują odpowiedź, która połączenie zestawia. Ponieważ przestępcy sami nie są klientami operatora satelitarnego, nie można ich namierzyć. W zasadzie ciężko jest nawet stwierdzić, że ktoś prowadził nasłuch — a nawet jeśli zostanie to potwierdzone, to nie można ustalić w jakim dokładnie miejscu nasłuch był prowadzony, ponieważ sygnał z satelity często trafia na obszar o promieniu półtora tysiąca kilometrów i obejmuje kilka krajów.

Na ślady wykorzystywania tego typu tricków przez przestępców z grupy Turla wpadli badacze z firmy Kaspersky. Twierdzą oni, że najstarsza próbka złośliwego oprogramowania, która miała zakodowane adresy C&C wskazujące na abonentów łącz satelitarnych pochodzi z 2007 rok. Warto też dodać, że w 2009 roku pojawiły się dwie prezentacje, które opisywały tego typu ataki na połączenia satelitarne.

Całość techniki ataku byłaby prawie tak doskonała jak chciałby tego Kaspersky, opisując ją w swoich materiałąch reklamowych, gdyby nie jeden drobny szczegół. Dane jak najbardziej są anonimowo odbierane — ale przecież jeszcze trzeba jakoś dostać się do DNS-a i go przekonfigurować lub — jeśli nie korzysta się z Fast Flux — odpowiedzieć zespoofowanym pakietem do ofiary… Czy to da się wykonać anonimowym downlinkiem przez satelitę? No właśnie… Podsłuch cudzego połączenia satelitarnego jest więc nie tyle sposobem na utrudnienie namierzenia sprawców, a sposobem na utrudnienie namierzenia serwera C&C, co realnie pozwala dłużej prowadzić atak.

Przeczytaj także:



37 komentarzy

Dodaj komentarz
  1. :)

  2. A jak wysyłają te zespoofowane pakiety? Jakiś router brzegowy nie powinien wychwycić i nie przepuścić dalej pakietów ze źródłowym adresem IP w zakresie którego nie obsługuje dana sieć?

  3. “Jeśli wynajmiesz serwer (VPS) w jakiejś serwerowni i dodatkowo schowasz się za kilkoma serwerami proxy, wytrwali śledczy także prędzej czy później do Ciebie dotrą”

    Ale patrząc z nieinformatycznego punktu widzenia, biorąc przykład tego gangu, jeśli dany serwer znajduje się w Rosji i korzysta z niego gang pracujący dla Rosyjskiego rządu, to śledczy Amerykańscy nie będą mogli wywierać presji na usługodawcy, bo serwer znajduje się w Rosji a nawet jeśli, to na prośbę Rosyjskiego rządu, te dane mogą być ukryte albo zmodyfikowane. Dobrze rozumuje?

    • Śledczy amerykańscy wystosują pismo do RIPE, które zabierze serwerowni pulę adresów IP.

    • Tak, dobrze rozumujesz.

      Dlatego np VPS w chinach mozna uznac za bezpieczny.

      Dla przykladu, ja prowadze sobie ‘firme z VPS’ i teraz klient u mnie kupuje usluge, robi komus ku-ku – zawraca sie do mnie ABW/NSA/Inne i pyta czy mam logi takiego a takiego IP.

      Moge podac prawdziwe dane, ale moge tez falszywe.

      Pytanie, kto naciska i gdzie? :)

      Czy USA moze naciskac na firmy w Rosji, Chinach czy innym kraju? Moze, czy firma z tego kraju poda prawdziwe dane czy falszywe to inna historia.

    • Mylicie się. USA jest “administratorem internetu”, jeżeli firma nie przestrzega zasad, może zostać usunięta/stracić przypisane IP. Ciężko jest znaleźć prawdziwy bulletproof VPS, wiele ruskich serwerów rozwiązuje z Tobą “umowę” jak trafisz na spamhaus

    • Jezu co za bzdury wypisuja ci od zabierania IP. Kto to w gole jest, ktore gimnazja specjalne?

  4. Uplink mozna tez zrealizowac droga satelitarna, co prada drozsze ale jest. Swego czasu na Astrze nadawala Casablanca – typowa “telegazeta internetowa – ograniczony content wybranych stron) , oraz mozna bylo odbierac za pomoca odpowiednich plaginow do progdvb (karta dvbs) strumienie danych internetowych (obcecnych na kilku satelitach)

  5. “Jeśli zgrasz je bezpośrednio na swój komputer — znajdą Cię.”
    Szyfrowanie już niemodne?

    • Zaszyfrujesz swój IP? :)

    • A to IP jednoznacznie identyfikuje osobę? Kul.

    • IPv6 – prawie jak szyfr ;)

    • a tor przestal dzialac?

  6. Przecież chyba dużo prościej po prostu włamać się komuś do sieci WiFi i użyć jego połączenia internetowego?

    • Co z tego jak i tak pozostanie twój ślad u dostawcy…

    • Znajdą Cię.

    • Włamanie do sieci WiFi wymusza obecność włamywacza w bliskiej okolicy tej sieci. Kilka takich wycieczek i policja ma zawężony obszar poszukiwań do obszaru o promieniu zapewne nie większym niż kilkanaście kilometrów, bo nikomu nie będzie się chciało jeździć dużo dalej.

    • Wtedy zasięg poszukiwań zmniejsza się do kilkudziesięciu metrów. A w opisywanym przypadku: “W zasadzie ciężko jest nawet stwierdzić, że ktoś prowadził nasłuch — a nawet jeśli zostanie to potwierdzone, to nie można ustalić w jakim dokładnie miejscu nasłuch był prowadzony, ponieważ sygnał z satelity często trafia na obszar o promieniu półtora tysiąca kilometrów i obejmuje kilka krajów.”

    • Zalezy jakie WiFi, predkosc i ilosc danych …

      Dla przykladu, chce zgrac 50 GB danych, ile bedzie trwalo zgranie tego? Oczywiscie liczymy ze zgrywam to jednym strumieniem, a nie po kawalku.

      WiFi ma ograniczenia, w zakresie ‘odleglosci’ a nie kazdy bedzie biegac po miescie/kraju za darmowym WiFi by utrzymywac polaczenia.

      Mowa o botnecie i C&C a ten musi miec stale polaczenie … wiec i WiFi mozna wytropic dosc szybko.

  7. “przestępcy spoofują odpowiedź, która połączenie zestawia”
    Ten krok w sumie dałoby się pominąć – można przecież dane przesyłać na przykład pakietami UDP jakimś własnym prostym protokołem który nie oczekuje potwierdzeń odbioru.

    • Czy nie wystarczy znać pulę adresową satelitarnego ISP (Raczej proste do znalezienia) i nadawać na dowolny adres IP z tejże puli interesujących nas danych za pomocą UDP (Chociażby nieśmiertelny netcat) ? :)

    • Wydaje mi się, że trzeba trafić na aktywne połączenie – dopóki nie będzie zestawionego połączenia który służy jako uplink pewnie takie pakiety nie polecą od razu “w powietrze”

  8. Ech casablanca… bawiłem się tym z Astry 19.2E. Piękne czasy neta przez modem tel. bo w miasteczku nie było jeszcze żadnej osiedlówki.

  9. A teraz przeczytajcie ten artykuł na “Frondelku” :-D: http://www.fronda.pl/a/hakerzy-z-rosji-na-smyczy-imperializmu-kremla,56686.html

  10. Nie taniej i prościej kupić prepa Tu Biedronka i smarta za 300zł? :)

  11. 1: Czy prędkość przesyłu nie będzie tu przeszkodą dla większych danych?
    2: A jak wygląda w tym przypadku kwestia VPN albo serii VPN rozsianych po świecie? Wytrwały śledczy też taką jednorazową akcję wyśledzi?

  12. ale jest przecierz TOR

  13. “Specyfika takiej wymianu ruchu wymusza brak szyfrowania połączenia. Krótko mówiąc — to co satelita przesyła dla danego adresu IP, może zostać odebrane (czyt. podsłuchane) przez dowolną osobę, która znajduje się na obszarze nadawania satelity i dysponuje odpowiednim sprzętem (tj. anteną i modemem DVB-S, np. kartą TBS-6922SE).”

    Wymusza ? Nie kumam. Tzn że nie można szyfrowac połączeń satelitarnych tego typu ?

  14. I można sniffowac cały ruch z satelity Wiresharkiem jak niekodowane Wifi ?

  15. “Specyfika takiej wymianu ruchu wymusza brak szyfrowania połączenia.”
    Dlaczego?

    • chyba dlatego że to przestarzały sprzęt i ma za mała moc obliczeniową żeby szyfrować parę Gb/s

    • Z tymi Gb/s to przesada. :) Obstawiam, że transmisja idzie jednym z kanałów danych na którymś transponderze (a właściwie jednym z PID-ów w strumieniu transportowym), a takie mają przepustowość ok. 46 Mb/s (DVB-S) i ok. 63 MB/s (DVB-S2). Obstawiam maksymalnie 15 Mb/s na taki kanał, a nawet mniej.

      Jakieś 10 lat temu takich kanałów z transmisją internetową na Hotbird 13,0E było pełno; można było przechwytywać pliki graficzne, archiwa i z rzadka pliki wideo. Wystarczyła dowolna karta DVB-S i wtyczka do jednego z programów do niej (DVB Dream, ProgDVB itp.), która odfiltrowywała dane. Podobnymi kanałami danych lecą aktualizacje od operatorów dla tunerów satelitarnych.

    • Połączenia mogą też być szyfrowane, to żaden problem, wszystko zależy od dostawcy. Niekoniecznie musi to być strumień transportowy, mogą to być strumienie nawet niezgodne ze standardem DVB-S/S2. Jeśli chodzi o przepływność to spokojnie da się teraz i z 190Mb/s wyciągnąć w kanale 60 MHz w 32APSK + ACM/VCM przy sensownym C/N.

  16. ten Atak jest dla mnie nie jasny i lekko naciągany i na tyle na ile go rozumiem, trojan aby wykraść dane musiałby wysyłać dane na IP użytkownika satelitarnego i to najlepiej strumieniem UDP by nie musieć potwierdzać z C&C, wtedy miałoby to sens, by totalnie ukryć C&C. Jedyne co by znaleźli to IP abomenta satelitarnego więc nie do wykrycia fakt :)

  17. cały myk polega na tym by trojan nie mial jakiegokolwiek połączenia z C&C, musi działać autonomicznie i spełać instrukcje zakodowane, właściwie to nie byłoby już C&C tylko receiving center no i wtedy jesteś nie do wykrycia :)

  18. Po co mieliby się tak bawić z uplinkiem skoro z mogą przejąc pełne połączenie VSAT ?
    Polecam obejrzeć dość już leciwy filmik z konferencji z Jim Geovedi
    https://www.youtube.com/watch?v=3vkBgcvMxUU

  19. Program się nazywa SkyGrabber. Wystarczy sobie sprawdzić na jakich transponderach dostępny (np. z lyngsat) jest net i wtedy można się podłączyć i pobierać i pobierać i pobierać, głównie śmieci, czyli to co akurat ludzie przeglądają czy ściągają z neta. Kiedyś się bawiłem w takie rzeczy.

Odpowiadasz na komentarz Radzio

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: