Hôm thứ Ba, một hãng bảo mật cho biết, một nhóm tin tặc Nga, có khả năng là Turla APT (Advanced Persistent Threat) đã tấn công các vệ tinh thương mại để che giấu hoạt động C&C. Nhóm Turla APT, được đặt theo tên phần mềm nổi tiếng Epic Turla của nhóm, đang lạm dụng các kết nối Internet dựa trên vệ tinh nhằm:
- Thu thập dữ liệu nhạy cảm từ các tổ chức chính phủ, quân sự, ngoại giao, nghiên cứu và giáo dục ở Mỹ và Châu Â
- Che giấu các máy chủ C&C trước các cơ quan thực thi pháp luậ
Mặc dù một số hoạt động của nhóm này bị phát hiện năm ngoái, nhưng trên thực tế, Turla APT đã hoạt động được gần một thập kỷ trong khi vẫn “vô hình” bằng cách khéo léo che giấu các cơ quan thực thi pháp luật và các công ty an ninh. Hiện các nhà nghiên cứu bảo mật từ an ninh mạng Kaspersky Lab, tại Moscow, tuyên bố đã xác định cách Turla APT thành công trong việc che giấu tung tích. Họ cho biết, nhóm cải trang bằng cách sử dụng kết nối Internet vệ tinh thương mại để ẩn giấu các máy chủ C&C. Turla là một nhóm tình báo mạng tinh vi người Nga, được cho là nhận được hậu thuẫn từ chính phủ Nga, đã nhắm vào một số chính phủ, quân đội, đại sứ quán, tổ chức nghiên cứu và dược phẩm tại hơn 45 quốc gia, bao gồm cả Trung Quốc, Việt Nam, và Mỹ. Nhóm này được cho là đã khai thác các lỗ hổng rất quan trọng trong cả Windows cũng như các hệ điều hành Linux, nhưng theo các nhà nghiên cứu Kaspersky, nhóm sử dụng các kỹ thuật truyền thông dựa trên vệ tinh để giúp che giấu vị trí máy chủ, có vẻ như phức tạp hơn nhiều so với những hành vi được thực hiện trước đó. Các hacker Turla khai thác các vệ tinh cũ có quỹ đạo xung quanh Trái Đất:
- Không sử dụng hỗ trợ cho các kết nối được mã hóa
- Lợi dụng những người dùng mà các nhà cung cấp dịch vụ Internet vệ tinh trên toàn thế giới tin tưởng
Hacker Nga chặn vệ tinh, lấy cắp dữ liệu hàng ngàn máy tính
Nhóm tận dụng kẽ hở đặc biệt này trong thiết kế của các vệ tinh và dễ dàng khai thác để đánh chặn lưu lượng tự do giữa vệ tinh và một người dùng cụ thể. Kỹ thuật Scheme này hoạt động khá đơn giản vì có rất nhiều vệ tinh dễ bị xâm nhập quay quanh Trái đất và gửi lưu lượng được mã hóa đến một vị trí địa lý mong muốn. Turla APT chỉ cần:
- Một ngôi nhà thuê ở khu vực mà các vệ tinh dễ bị xâm nhập phủ sóng
- Một ăng-ten chảo vệ tinh để đánh chặn lưu lượng truy cập
- Kết nối Internet cố định
- Các hacker Turla “do thám” thông qua lưu lượng thu được từ vệ tinh và chọn một địa chỉ IP của người dùng ngẫu nhiên online tại thời điểm đó.
Sau khi lựa chọn, các tin tặc cố gắng lây nhiễm phần mềm độc hại cho máy tính mục tiêu, nhằm cấu hình các tên miền cho máy chủ C&C của họ để trỏ đến địa chỉ IP. Khi các hacker Turla đạt được quyền kiểm soát hệ thống người dùng của vệ tinh, họ chỉ thị cho các máy tính bị nhiễm botnet gửi dữ liệu bị đánh cắp tới máy chủ C&C (người dùng vệ tinh đã bị gây hại). Trong khi đó, các tin tặc Turla ẩn vị trí của họ trước các điều tra viên một cách hiệu quả, vì họ có thể ở bất cứ nơi nào trong phạm vi của chùm vệ tinh, tức là phạm vi lên tới hàng ngàn dặm. THN