nrk.no

Russisk gruppe sprer virus med hackede satellitter

Kategori: Sikkerhet

Turla-viruset bruker satellittforbindelser for å kommunisere med moderskipet.

En gruppe som antas å være tilknyttet russiske myndigheter, hacker seg inn i verdensomspennende satellittnettverk og bruker disse for å spre og kontrollere virusene sine.

Både viruset og gruppen som står bak det har navnet Turla, og viruset har i over ti år spredd seg rundt om på nettet. Viruset prøver i all hovedsak å kartlegge og infisere maskiner som er tilknyttet organisasjoner og militære tjenester, og hevdes av Kaspersky å være blant de mer sofisitikerte virusene per dags dato. Viruset infiserer maskiner over hele verden, men det ser ut til å ha en forkjærlighet for maskiner i Russland, Kazakhstan, Kina, Vietnam og USA.

Kaspersky Lab avdekket dette allerede i fjor, men har nå funnet bevis på at maskinene som er infisert av viruset kontrolleres via stjålne satellittforbindelser.

Styres via satellittforbindelser

Sikkerhetsfirmaet Kaspersky Lab er kanskje best kjent for sitt pompøse slagord «We are here to save the world», men firmaet driver også mye seriøs og grundig sikkerhetsforskning. I en ny rapport legger de frem hvordan et russisk virus spres og styres via stjålne satellittforbindelser.

Denne typen virus har som mål å hente ut informasjon fra maskinene de infiserer. En av de store problemene med å få sendt denne informasjonen, er at de på ett eller annet vis må ha kontakt med «moderskipet»; Stedet hvor viruset kontrolleres fra. Og tradisjonelt sett har det da vært mulig for sikkerhetsresearchere å spore opp hvor IP-adressen som kontrollerer viruset befinner seg, for å så undersøke hvem som eier den aktuelle IP-en.

Satellittbasert tilknytning er en ganske velegnet måte å få tilgang til internett på steder hvor kablede forbindelser er mangelvare, for eksempel i utmark og ørkenlandskap – og for militære enheter som er ute i felten.

Turla utnytter satellittleverandører som i all hovedsak opererer i Afrika og Midtøsten,  ifølge Kaspersky.
Turla utnytter satellittleverandører som i all hovedsak opererer i Afrika og Midtøsten, ifølge Kaspersky.

De rimeligste formene for satellittbaserte forbindelser har bare mulighet til å laste ned innhold, og krever at brukeren har tilgang til en annen forbindelse (for eksempel via mobilnettet) for å sende forespørslene. Fordelen med dette er at nedlastingen går kjapt via satellitten, og kostnaden for å sende forespørslene via den andre forbindelsen er minimal.

Det er spesielt disse forbindelsene Turla utnytter: Siden satellittkommunikasjon i praksis er kringkasting, er det mulig for utenforstående å lytte på kommunikasjonsstrømmen. Så i stedet for at kommunikasjonen går direkte mellom moderskipet og de infiserte maskinene, gjør Turla følgende:

  1. Turla lytter på satellittkommunikasjonen fra en spesifikk tjenesteleverandør, og identifiserer IP-adressen til en aktiv bruker
  2. Turla bruker denne IP-adressen for å maskere lokasjonen til moderskipet, og kjører kommandoene mot de infiserte maskinene gjennom denne forbindelsen
  3. De infiserte maskinene får så beskjed om å sende informasjonen tilbake til den stjålne satellittforbindelsen, hvor Turlas bakmenn rett og slett overvåker kommunikasjonsstrømmen som kringkastes og henter ut den relevante informasjonen
Slik foregår satelitt-tappingen. Foto: Kaspersky Lab/Securelist
Slik foregår satelitt-tappingen. Foto: Kaspersky Lab/Securelist

Denne maskeringen gjør det svært vanskelig å identifisere hvor kommandoene faktisk sendes fra, noe som videre gjør det nærmest umulig å identifisere hvem som står bak. Mer detaljert informasjon finnes på SecureList.

Maskering stadig mer vanlig

Selv om Turla er den første gruppen som har brukt satellitter for å maskere identiteten sin, har identitetsmaskering generelt sett vært i bruk i årevis. De siste årene har såkalt ransomware blitt mer utbredt, og det er spesielle virus som tar kontroll over – og krypterer – hele maskinen din, og krever løsepenger for at du skal få tilgang til filene dine igjen.

CryptoLocker er et virus som krever løsepenger for at du skal få tilgang til filene dine. Foto: Realfintogive/Wikimedia Commons
CryptoLocker er et virus som krever løsepenger for at du skal få tilgang til filene dine. Foto: Realfintogive/Wikimedia Commons

Denne typen virus har også benyttet seg av maskering for å kommunisere med moderskipet, men i stedet for satellitter har virusene kommunisert over det anonyme Tor-nettverket.

Gruppen Turla har åpenbart utnyttet denne svakheten i satellittbasert infrastruktur en stund, noe som gjør det spennende å fundere på hvilke andre svakheter i utbredt infrastruktur som er sårbar for ondsinnede angrep. Hva tenker dere?

3 kommentarer

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.