Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

Cyber espionnage: les liaisons internet par satellite utilisé pour l'anonymisation

10 Septembre 2015 , Rédigé par nicko Publié dans #informatique

Cyber espionnage: les liaisons internet par satellite utilisé pour l'anonymisation

Le groupe Turla , aussi connu sous le nom Snake ou Uroboros, est l'un des acteurs de menaces les plus avancées dans le monde. Ce groupe d'espionnage cybernétique est actif depuis plus de 8 ans, le sujet des opérations du collectif est resté peu connu jusqu'à l'année dernière, lorsque Kapersky a publié leur recherche sur le groupe.

Spécifiquement, cette recherche a inclus des exemples d'artefacts de langue, montrant qu'une partie de Turla sont russophones. Ces personnes utilisent la page de codes 1251, qui est couramment utilisé pour rendre les caractères cyrilliques, et des mots comme 'Zagruzchik,' ce qui signifie, "boot loader" en russe.

Ce qui fait que le groupe Turla est particulièrement dangereux et difficile a attraper n'est pas juste la complexité de ses outils, mais le mécanisme commande-et-contrôle à partir de satellite exquise (C*C) mis en œuvre dans les étapes finales de l'attaque.

Les serveurs de commande et de contrôle sont à la base de cyber-attaques avancées. Dans le même temps, il est le maillon faible de l'infrastructure malveillante, et est toujours ciblé par les enquêteurs numériques et les organismes d'application de la loi.

Il y a deux bonnes raisons à cela. Tout d'abord, ces serveurs sont utilisés pour contrôler l'ensemble des opérations. Si vous pouviez les arrêter, vous pourriez perturber la cyber campagne. Deuxièmement, les serveurs C & C peuvent être utilisés pour retracer les attaquants vers leurs emplacements physiques.

Voilà pourquoi les acteurs de menaces essaient toujours de cacher C & C aussi profondément que possible. Le groupe Turla a trouvé un moyen très efficace de le faire: ils dissimulent les adresses IP de serveurs dans le ciel.

Une des solutions les plus répandus et peu coûteuse pour ce connecter à Internet par satellite est un aval a une seule connexion. Dans ce cas, les données sortantes de l'ordinateur de l'utilisateur est effectuée par des lignes classiques - un réseau filaire ou cellulaire, - alors que tout le trafic entrant provient du satellite.

Cependant, cette technologie présente une particularité: la totalité du trafic en aval vient du satellite en clair sur le PC. Autrement dit, toute personne peut intercepter le trafic. Le groupe Turla utilise cette faille d'une manière nouvelle et très intéressante: pour cacher leur propre trafic C & C.

Cyber espionnage: les liaisons internet par satellite utilisé pour l'anonymisation

Les possibilités sont les suivantes

1: Ils écoutent en aval du satellite pour identifier les adresses IP des utilisateurs actifs d'Internet par satellite qui sont en ligne aux même moment.


2: Puis ils choisissent un certain nombre d'adresses IP active pour les utilisé pour masquer un serveur C & C à l'insu de l'utilisateur légitime.


3: Les machines infectées par Turla reçoivent l'instruction d'envoyer toutes les données à l'IPS choisis. Les données se déplace à travers les lignes conventionnelles vers le satellite et enfin vers le bas du satellite pour les utilisateurs avec les adresses IP choisies.


4: Les données sont abandonnées par les PCs des utilisateurs légitimes comme déchets, alors que les acteurs de menace les sélectionnent de la connexion satellite en aval.

Le faite qu'un satellite couvre une large zone en aval, rend impossible de suivre exactement où sont basés physiquement les récepteurs des acteurs de la menace. Pour rendre ce jeu du chat et de la souris encore plus difficile, le groupe Turla tend à exploiter les fournisseurs d'accès Internet par satellite situés aux Moyen Orient et dans les pays africains comme le Congo, le Liban, la Libye, le Niger, le Nigeria, la Somalie ou les Émirats arabes unis.

Cyber espionnage: les liaisons internet par satellite utilisé pour l'anonymisation

Les faisceaux de satellite qui sont utilisés par les opérateurs dans ces pays ne couvrent généralement pas les territoires européens et nord-américains, ce qui rend très difficile pour la plupart des chercheurs en sécurité d'enquêter sur ces attaques.

Les assaillants derrière Turla ont infecté des centaines d'ordinateurs dans plus de 45 pays, dont le Kazakhstan, la Russie, la Chine, le Vietnam et les États-Unis. Les organisations d'intérêt pour le groupe Turla comprennent les institutions gouvernementales et les ambassades, ainsi que l'armée, l'éducation, la recherche et les compagnies pharmaceutiques.

Cyber espionnage: les liaisons internet par satellite utilisé pour l'anonymisation

Bonnes nouvelles pour les utilisateurs des produits de Kaspersky Lab, ceux-ci détectent et bloquent avec succès les logiciels malveillants utilisés par les acteurs de la menace Turla.

Source: Blog.Kapersky

Bonnes nouvelles pour les utilisateurs des produits de Kaspersky Lab, ceux-ci détectent et bloquent avec succès les logiciels malveillants utilisés par les acteurs de la menace Turla.

Partager cet article

Repost 0
Pour être informé des derniers articles, inscrivez vous :

Commenter cet article

Sécurité informatique 15/09/2015 14:49

Merci pour cet article. Je vois que les opérations d’espionnage cybernétique sont devenus plus sophistiquées et plus complexes. En effet, ils se servent de ces satellites pour ne pas laisser de trace. Je ne crains même que les organisations telles que Turla soient plus nombreuses qu’on ne le pense.