卡巴斯基成功攔截Turla惡意軟件

■王蕊

卡巴斯基成功攔截Turla惡意軟件

■王蕊

卡巴斯基實驗室在調查臭名昭著的俄語網絡間諜組織Turla時，發現該組織利用全球衛星網絡中的安全漏洞實現匿名性，隱藏其攻擊行為和地理位置不被發現。Turla是一個復雜的網絡間諜組織，其活躍時間已經超過八年。Turla幕后的攻擊者在全球超過45個國家感染了數以萬計的計算機，其中包括哈薩克斯坦、俄羅斯、中國、越南和美國。目前，卡巴斯基實驗室的個人與企業版產品均能成功檢測和攔截Turla攻擊組織所使用的惡意軟件，并已將其檢測為：Backdoor. Win32.Turla.★、Rootkit.Win32.Turla.★、HEUR：Trojan.Win32. Epiccosplay.gen和HEUR：Trojan.Win32.Generic。

據了解，受Turla網絡間諜組織影響的組織類型包括政府機構和大使館以及軍事、教育、研究和制藥公司等。在攻擊初始階段，Epic后門程序會對受害者進行分析。只有針對最為重要的目標，攻擊者才會使用基于衛星的通訊機制用于進行后期攻擊，這種通訊方式有助于他們隱藏自身蹤跡。

衛星通信主要被用作電視廣播以及安全通訊，但是，其同樣可用于提供互聯網訪問。這種服務主要用于偏遠地區，因為這些地區的互聯網接入不穩定、較慢或根本沒有相關服務。其中，使用最為廣泛，費用最為低廉的基于衛星的互聯網接入服務是一種被稱為下行連接。

在這種情況下，來自用戶計算機的出站請求通過傳統線路（有限連接或GPRS連接）進行通訊，而入站通訊則來自衛星。這種技術能夠讓用戶獲得相對較快的下載速度。但是，它有一個很大的缺點：所有返回到計算機的下行通訊是未加密的。惡意用戶可以使用并不昂貴的設備和軟件，輕松攔截用戶通訊，訪問到用戶下載的所有鏈接和數據信息。

Turla網絡間諜組織的不同之處在于其利用了該技術中的漏洞：他們使用這種技術，隱藏其命令和控制服務器（C&C）的位置，而命令和控制服務器是惡意基礎設施最重要的一個部分之一。命令和控制服務器是部署在被攻擊計算機上的惡意軟件的“大本營”。如果找到這些服務器的位置，就能夠揭開攻擊行動幕后的攻擊組織詳情。Turla網絡間諜組織采用以下手段避免這種風險：

1.間諜組織首先“監聽”來自衛星的下行流量，確認當時正在線使用基于衛星的互聯網服務用戶的活躍IP地址。

2.他們會選擇一個在線IP地址，用來掩蓋命令和控制服務器，而合法用戶根本不會察覺。

3.受Turla感染的計算機會收到指令，將竊取到的數據發送到使用基于衛星的互聯網用戶的IP地址。數據通過傳統線路發送到衛星互聯網服務商的遠程端口，之后被發送到衛星，最后從衛星發送到被選定的用戶IP地址。

有趣的是，攻擊者使用合法用戶的IP地址接收來自受感染計算機的數據，這些合法用戶同樣會受到這些數據包，但很少會注意到這些數據包。這是因為Turla攻擊者控制受感染計算機將數據發送到那些通常默認關閉的端口，所以合法用戶的計算機會丟棄這些數據包。而Turla命令和控制服務器則開放這些端口，能夠收到和處理這些竊取到的數據。

Turla攻擊者所采取的策略還有一個特別之處，即他們會優先使用位于中東和非洲國家的衛星互聯網連接服務商。根據研究，卡巴斯基實驗室專家發現Turla組織使用了位于剛果、黎巴嫩、利比亞、尼日爾、尼日利亞、索馬里以及阿聯酋等國家的衛星服務提供商的IP。

這些國家的衛星互聯網服務提供商所使用的衛星波束通常不會覆蓋歐洲和北美區域，這使得大多數安全研究人員很難對這些攻擊進行調查。

在談及這一重大發現時，卡巴斯基實驗室資深安全研究員Stefan Tanase表示：“過去，我們至少發現有三個不同的攻擊組織會使用基于衛星的互聯網連接隱藏自身的攻擊行動。其中，Turla網絡間諜組織所開發的手段最為有趣和非比尋常。通過利用這種應用廣泛的單向衛星互聯網技術，他們可以實現高度匿名性。攻擊者可以在選定衛星的覆蓋范圍內任何地方，這一面積可超過數千平方千米。這使得追蹤攻擊者幾乎不可能。隨著這種手段的使用變得更為普及，要求系統管理員需要部署正確的防御策略，抵御這種攻擊，這一點非常重要。”