Turla in the Sky: Satelliten-C&C

Wie die Turla-Betreiber satellitengestützte Internetverbindungen kapern

Haben Sie schon einmal Satelliten-Fernsehen gesehen? Waren Sie nicht erstaunt über die Vielfalt und Menge der TV-Kanäle und Radiosender? Und haben Sie sich nicht auch schon einmal gefragt, was Satelliten-Telefone und satellitengestützte Internetverbindungen zum Laufen bringt? Was wäre, wenn wir behaupten würden, es gäbe mehr Satelliten für Internetverbindungen als solche für Unterhaltung, Verkehr und Wetter? Und zwar sehr, sehr viele mehr.

APT-Gruppen haben mit vielen Problemen zu kämpfen. Eins davon, und zudem auch vermutlich das größte, ist die ständige Beschlagnahmung und Deaktivierung von Domains und Servern, die als Steuerungszentren (C&C) verwendet werden. Diese Server werden immer wieder von Strafverfolgungsbehörden beschlagnahmt oder von ISPs abgeschaltet. Manchmal können mit ihrer Hilfe auch Angreifer bis zu ihrem physikalischen Standort zurückverfolgt werden.

Einige der fortschrittlichsten Bedrohungsakteure und auch Nutzer von kommerziellen Hackertools haben eine Lösung für dieses Beschlagnahmungsproblem gefunden, und zwar benutzen sie satellitengestützte Internetlinks. In der Vergangenheit hatten wir es mit drei verschiedenen Akteuren zu tun, die solche Verbindungen verwenden, um ihre Operationen zu tarnen. Die interessanteste und ungewöhnlichste dieser Gruppen ist die Turla-Gruppe.

Auch bekannt als Snake oder Uroburos – Namen, die von ihrem Rootkit der Spitzenklasse stammen –, ist die Cyberspionage-Gruppe Turla nun schon seit über 8 Jahren aktiv. Verschiedene Abhandlungen wurden über die Operationen dieser Gruppe herausgebracht, doch bis zur Veröffentlichung der Epic Turla-Studie von Kaspersky Lab gab es nur wenige Informationen über die eher ungewöhnlichen Aspekte ihrer Operationen, wie z.B. die ersten Infektionsetappen mittels Wasserloch-Attacken.

Nicht nur die Komplexität ihrer Tools macht die Turla Gruppe zu etwas Besonderem – das Rootkit Uroboros, alias „Snake“, sowie die Mechanismen zur Umgehung von Air Gaps durch vielstufige Proxy-Netzwerke innerhalb von LANs eingeschlossen. Sondern auch der ausgezeichnete satellitengestützte C&C-Mechanismus, der im Endstadium der Attacke eingesetzt wird.

Wir hoffen mit diesem Blog die satellitengestützten C&C-Mechanismen etwas mehr zu erhellen, die von APT-Gruppen genutzt werden, unter anderem von der Turla/Snake-Gruppe, um ihre wichtigsten Opfer zu kontrollieren. Da diese Mechanismen immer häufiger eingesetzt werden, ist es wichtig für Systemadministratoren, die korrekten Abwehrstrategien bereitzustellen, um derartige Attacken zu verhindern. Die IOCs finden Sie im Anhang.

Turla in the Sky: Satelliten-C&C

Technische Details

Wenn auch recht selten, haben einige Elite-APT-Gruppen seit dem Jahr 2007 immer wieder Satellitenverbindungen genutzt – und missbraucht -, um ihre Operationen zu verwalten, in erster Linie ihre C&C-Infrastruktur. Turla ist eine von ihnen. Die Anwendung dieses Ansatzes bietet einige Vorteile, beispielsweise macht er es schwierig, die Initiatoren der Attacken zu identifizieren, doch es stellt für die Angreifer auch ein gewisses Risiko dar.

Auf der einen Seite ist es ein großer Vorteil, dass der tatsächliche Standort und die Hardware der C&C-Server nicht ohne weiteres bestimmt oder physikalisch beschlagnahmt werden kann. Satellitengestützte Internetreceiver können überall innerhalb des vom Satelliten abgedeckten Bereichs lokalisiert sein, der generell recht groß ist. Die von der Turla-Gruppe verwendete Methode zum Kapern der Downstreamlinks ist hochgradig anonym und macht kein gültiges Satelliten-Internet-Abo erforderlich.

Auf der anderen Seite ist es ein Nachteil, dass satellitengestütztes Internet langsam ist und unbeständig sein kann.

Anfangs war es uns und anderen Forschern nicht klar, ob einige der beobachteten Links kommerzielle Internetverbindungen via Satellit waren, die die Angreifer käuflich erworben hatten, oder ob die Angreifer bei den ISPs eingedrungen sind und Man-in-the-Middle (MitM)-Attacken auf Router-Ebene durchgeführt haben, um den Stream zu hacken. Wir haben diese Mechanismen analysiert und sind zu dem überraschenden Schluss gekommen, dass die von der Turla-Gruppe verwendete Methode unglaublich simpel und geradeaus ist, aber ebenso anonym und zudem im Betrieb und in der Verwaltung überaus günstig.

Echte Satellitenverbindungen, MitM-Attacken oder BGP-Hijacking?

Eine Option, die APT-Gruppen offen steht, um ihren C&C-Traffic abzusichern, besteht darin, sich satellitengestützte Internetverbindungen zu kaufen. Doch Vollduplex-Satellitenverbindungen sind sehr teuer: Eine einfache Duplex 1Mbit-up/down-Satellitenverbindung kann bis zu 7000 Dollar pro Woche kosten. Für längerfristige Verträge könnte die Einsparung schon beträchtlich sein, aber es bleibt trotzdem sehr teuer.

Eine andere Methode, einen C&C-Server in den IP-Bereich eines Satelliten zu bekommen, besteht darin, den Netzwerktraffic zwischen dem Opfer und dem Satellitenbetreiber zu kapern und Pakete auf dem Weg einzuschleusen. Das macht entweder die Ausnutzung des Satellitenproviders selbst oder eines anderen ISPs auf dem Weg erforderlich.

Diese Art von Entführungsattacken wurden in der Vergangenheit bereits beobachtet und im November von Renesys (jetzt Teil von Dyn) in einem Blogpost dokumentiert.

Bei Renesys heißt es: „Verschiedene BGP-Routen von Providern wurden gekapert, und das hatte zur Folge, dass ein Teil ihres Internet-Traffics fehlgeleitet wurde und über weißrussische und isländische ISPs daherkam. Wir haben BGP-Routingdaten, die die sekundengenaue Entwicklung von 21 weißrussischen Ereignissen im Februar und Mai 2013 zeigen, sowie 17 isländische Ereignisse im Juli-August 2013.“

In einem neueren Blogpost aus dem Jahr 2015 stellen Dyn-Forscher Folgendes heraus: „Sicherheitsforscher, die Alarm-Protokolle analysieren, müssen berücksichtigen, dass die als Quelle der Ereignisse identifizierten IP-Adressen regelmäßig gefälscht sein können. Eine Attacke beispielsweise, die anscheinend von einer Comcast IP in New Jersey stammt, kann tatsächlich zu einem Hijacker gehören, der sich in Osteuropa befindet und der kurzzeitig Comcast IP-Raum beschlagnahmt hat. Es ist interessant festzustellen, dass alle entweder von Europa oder von Russland aus gesteuert wurden.“

Anscheinend haben so unglaublich offensichtliche und groß angelegte Attacken nur geringe Chancen, über längere Zeiträume zu überleben, was allerdings eine der wichtigsten Anforderungen an eine laufende APT-Operation ist. Daher ist es nicht unbedingt machbar, eine Attacke über das Kapern von Traffic mittels MitM durchzuführen, wenn die Angreifer keine direkte Kontrolle über einige Netzwerkpunkte mit hohem Traffic-Aufkommen haben, wie z.B. Backbone-Router oder Glasfaser. Es gibt Anzeichen dafür, dass solche Attacken immer üblicher werden, doch es gibt einen sehr viel einfacheren Weg, satellitengestützten Internet-Traffic abzufangen.

Turla in the Sky: Satelliten-C&C

Kapern von Satellitenverbindungen (DVB-S)

Das Kapern von DVB-S-Verbindungen wurde bereits mehrmals beschrieben; auf der BlackHat 2010 hielt der Forscher Leonardo Nve Egea von S21Sec einen Vortrag über das Kapern von Satelliten-DVB-Verbindungen.

Um DVB-S-Verbindungen zu kapern, braucht man die folgenden Zutaten:

  • eine Satellitenschüssel – die Größe hängt von der geografischen Position und dem Satelliten ab;
  • einen rauscharmen Signalumsetzer (LNB)
  • einen DVB-S-Tuner (PCIe-Karte)
  • einen PC, vorzugsweise mit Linux.

Während die Schüssel und der LNB mehr oder weniger Standard sind, ist die Karte die vermutlich wichtigste Komponente. Aktuell werden die besten DVB-S-Karten von dem Unternehmen TBS Technologies hergestellt. Die TBS-6922SE ist wahrscheinlich die beste Einstiegskarte für diesen Zweck.

Turla in the Sky: Satelliten-C&C

TBS-6922SE PCIe Karte zum Empfang von DVB-S-Kanälen

Die TBS-Karte ist insbesondere deswegen für diesen Zweck so gut geeignet, da sie über dazugehörige Linux Kernel-Treiber verfügt und eine Funktion unterstützt, die als ein Brute-Force-Scan bekannt ist und die es ermöglicht, weite Frequenzbereiche auf interessante Signale zu untersuchen. Sicherlich funktionieren auch andere PCI- oder PCIe-Karten, wobei USB-basierte Karten im Allgemeinen relativ schwach sind und vermieden werden sollten.

Anders als das satellitengestützte Vollduplex Internet, werden Downstream-Only Internetverbindungen benutzt, um Internet-Downloads zu beschleunigen und sie sind sehr günstig und einfach bereitzustellen. Sie sind aber auch grundsätzlich unsicher und verwenden keine Verschlüsselung, um den Traffic zu verschleiern. Das öffnet dem Missbrauch Tür und Tor.

Unternehmen, die Zugriff auf Downstream-Only Internet anbieten, nutzen Teleportpunkte, um den Traffic zu dem Satelliten zu befördern. Der Satellit sendet den Traffic zu größeren Bereichen auf der Erde, im Ku-Band (12-18Ghz), indem gewisse IP-Klassen durch die Teleportpunkte geroutet werden.

Wie funktioniert das Kapern von Satelliten-Internetverbindungen?

Turla in the Sky: Satelliten-C&C

Werden satellitengestützte Internet-Verbindungen angegriffen, zeigen sowohl die Satellitenschüsseln der legitimen Nutzer dieser Verbindungen als auch die der Angreifer auf den speziellen Satelliten, der den Traffic sendet. Die Angreifer missbrauchen die Tatsache, dass die Pakete unverschlüsselt sind. Wurde eine IP-Adresse identifiziert, die durch die Downstream-Verbindung des Satelliten geroutet wird, beginnen die Angreifer, die Pakete abzuhören, die vom Internet zu dieser speziellen Adresse kommen. Wenn ein solches Paket identifiziert wurde, beispielsweise ein TCP/IP SYN-Paket, identifizieren die Angreifer die Quelle und senden ein gefälschtes Antwortpaket (z.B. SYN ACK) zurück zu der Quelle, wobei sie eine konventionelle Internetverbindung verwenden.

Gleichzeitig ignoriert der legitime Nutzer der Verbindung dieses Paket, da es an einen anderweitig ungeöffneten Port geht, beispielsweise Port 80 oder 10080. Hier kann man eine wichtige Beobachtung machen: Normalerweise, wenn ein Paket auf einen geschlossenen Port trifft, wird ein RST oder FIN Paket zurück zu der Quelle gesendet, um darauf hinzuweisen, dass das Paket nicht erwartet wird. Doch für langsame Verbindungen wird empfohlen, dass Firewalls die Pakete einfach an geschlossenen Ports abwerfen. Das schafft Raum für Missbrauch.

Missbrauchte Internetbereiche

Während unserer Analyse haben wir beobachtet, wie die Turla-Angreifer mehrere DVB-S Internet Provider ausgenutzt haben, von denen die meisten Downstream-Only-Verbindungen im Mittleren Osten und Afrika anbieten. Interessanterweise umfasst die Abdeckung dieser Strahlen nicht Europa oder Asien, was bedeutet, dass eine Schüssel entweder im Mittleren Osten oder in Afrika benötigt wird. Alternativ kann eine wesentlich größere (3m+) Schüssel in anderen Gebieten eingesetzt werden, um das Signal zu verstärken.

Für die Berechnung der Schüsselgröße kann man verschiedene Tools benutzen, unter anderen Online-Ressourcen, wie z.B. satbeams.com:

Turla in the Sky: Satelliten-C&C

Beispiel für eine Schüsselberechnung – (c) www.satbeams.com

Die unten stehende Tabelle zeigt einige der Command-and-Control-Server, die mit dem Turla-Akteur in Verbindung stehen, mit Domains, die zu einer IP auflösen, die satellitengestützten Internet-Providern gehören:

IP Erstmals beobachtet Hosts
84.11.79.6 Nov. 2007 n/a, siehe Anmerkung unten
92.62.218.99 25. Feb. 2014 pressforum.serveblog.net
music-world.servemp3.com
209.239.79.47 27. Feb 2014 pressforum.serveblog.net
music-world.servemp3.com
209.239.79.52 March 18th, 2014 hockey-news.servehttp.com
209.239.79.152 18. März 2014 hockey-news.servehttp.com
209.239.79.33 25. Januar 2014 eu-society.com
92.62.220.170 19. März 2014 cars-online.zapto.org
fifa-rules.25u.com
forum.sytes.net
health-everyday.faqserv.com
music-world.servemp3.com
nhl-blog.servegame.com
olympik-blog.4dq.com
supernews.sytes.net
tiger.got-game.org
top-facts.sytes.net
x-files.zapto.org
92.62.219.172 26. April 2013 eu-society.com
82.146.174.58 28. Mai 2014 forum.sytes.net
hockey-news.servehttp.com
leagueoflegends.servequake.com
music-world.servemp3.com
82.146.166.56 11. März 2014 easport-news.publicvm.com
82.146.166.62 24. Juni 2014 hockey-news.servehttp.com
62.243.189.231 04. April 2014 africankingdom.deaftone.com
aromatravel.org
marketplace.servehttp.com
newutils.3utilities.com
people-health.net
pressforum.serveblog.net
weather-online.hopto.org
77.246.76.19 17. März 2015 onlineshop.sellclassics.com
62.243.189.187 02. Mai 2012 eu-society.com
62.243.189.215 03. Januar 2013 people-health.net
217.20.243.37 03. Juli 2014 forum.sytes.net
music-world.servemp3.com
217.20.242.22 01. September 2014 mediahistory.linkpc.net
83.229.75.141 05. August 2015 accessdest.strangled.net
chinafood.chickenkiller.com
coldriver.strangled.net
developarea.mooo.com
downtown.crabdance.com
greateplan.ocry.com
industrywork.mooo.com
radiobutton.mooo.com
securesource.strangled.net
sportnewspaper.strangled.net
supercar.ignorelist.com
supernews.instanthq.com

Anmerkung: 84.11.79.6 ist im Konfigurationsblock des Schadsamples hartkodiert.

Die beobachteten Satelliten-IPs haben die folgenden ‚WHOIS‘-Informationen:

IP Land ISP
92.62.220.170
92.62.219.172
92.62.218.99
Nigeria Skylinks Satellite Communications Limited
209.239.79.47
209.239.79.52
209.239.79.152
209.239.79.33
Vereinigte Arabische Emirate Teleskies, Telesat Network Services Inc
82.146.174.58
82.146.166.56
82.146.166.62
Libanon Lunasat Isp
62.243.189.231
62.243.189.187
62.243.189.215
Dänemark Emperion
77.246.71.10
77.246.76.19
Libanon Intrasky Offshore S.a.l.
84.11.79.6 Deutschland IABG mbH
217.20.243.37 Somalia Sky Power International Ltd
217.20.242.22 Nigeria Sky Power International Ltd
83.229.75.141 Vereinigtes Königreich SkyVision Global Networks Ltd
217.194.150.31 Niger SkyVision Global Networks Ltd
41.190.233.29 Kongo Orioncom

Ein interessanter Fall ist vermutlich 84.11.79.6, die in den Satelliten-IP-Bereich von IABG mbH fällt.

Diese IP ist im C&C der folgenden Backdoor verschlüsselt, die von der Turla-Gruppe verwendet wird, und die unter dem Namen „Agent.DNE“ bekannt ist.

md5 0328dedfce54e185ad395ac44aa4223c
Größe 91136 Bytes
Typ Windows PE

Turla in the Sky: Satelliten-C&C

C&C-Konfiguration von Agent.DNE

Dieses Sample von Agent.DNE hat einen Kompilierungszeitstempel von Donnerstag, 22. November 2007, 14:34:15, was bedeutet, dass die Turla-Gruppe bereits seit fast acht Jahren satellitengestützte Internetverbindungen nutzt.

Fazit

Die regelmäßige Nutzung von satellitengestützten Internetverbindungen durch die Turla-Gruppe repräsentiert einen interessanten Aspekt ihrer Tätigkeit. Die Verbindungen sind meist für mehrere Monate aktiv, aber niemals zu lange. Wir wissen nicht, ob der Grund hierfür selbst auferlegte Sicherheitsbeschränkungen der Gruppe sind, oder ob sie von Dritten aufgrund schädlichen Verhaltens abgeschaltet werden.

Die technischen Methoden zur Implementierung dieser Internetkreisläufe fußen auf dem Kapern von Downstream-Bandbreite von verschiedenen ISPs und auf dem Fälschen von Paketen. Diese Methode ist technisch einfach zu implementieren und sie bietet ein höheres Maß an Anonymität als mögliche andere konventionelle Methoden, wie z.B. das Mieten eines VPS oder das Hacken eines legitimen Servers.

Die Erstinvestition zur Einführung dieser Angriffsmethode liegt unter 1000 Dollar und die Unterhaltungskosten dürften weniger als 1.000 Dollar pro Jahr betragen. Bedenkt man, wie einfach und günstig dieser Methode ist, so überrascht es, dass wir bisher noch nicht mehr APT-Gruppen beobachten konnten, die sie einsetzen. Doch auch wenn diese Methode einen sonst unerreichten Level an Anonymität bietet, sprechen logistische Gründe dafür, auf Bullet-Proof-Hosting, multiple Proxy-Levels oder gehackte Websites zu setzen. Tatsächlich ist die Turla-Gruppe bekannt dafür, alle diese Techniken einzusetzen, was sie zu einem sehr vielseitigen, dynamischen und flexiblen Cyberspionage-Akteur macht.

Doch wir weisen darauf hin, dass Turla nicht die einzige APT-Gruppe ist, die satellitengestützte Internetlinks nutzt. Auch C&Cs von HackingTeam wurden schon bei Satelliten IPs beobachtet, ebenso wie die C&Cs der Xumuxu-Gruppe und kürzlich auch von der APT-Gruppe Rocket Kitten.

Sollte sich diese Methode unter APT-Gruppen, oder schlimmer noch, unter Cyberkriminellen-Gruppen, ausbreiten, so wird das ein ernsthaftes Problem für die IT-Sicherheit und die Spionageabwehr darstellen.

* Der vollständige Bericht über den Einsatz von satellitengestützten Internetverbindungen durch die Turla-Gruppe ist für Kunden von Kaspersky Intelligence Services verfügbar.

Kompromittierungsindikatoren (IOC):

IPs:

84.11.79.6
41.190.233.29
62.243.189.187
62.243.189.215
62.243.189.231
77.246.71.10
77.246.76.19
77.73.187.223
82.146.166.56
82.146.166.62
82.146.174.58
83.229.75.141
92.62.218.99
92.62.219.172
92.62.220.170
92.62.221.30
92.62.221.38
209.239.79.121
209.239.79.125
209.239.79.15
209.239.79.152
209.239.79.33
209.239.79.35
209.239.79.47
209.239.79.52
209.239.79.55
209.239.79.69
209.239.82.7
209.239.85.240
209.239.89.100
217.194.150.31
217.20.242.22
217.20.243.37

Hostnamen:

accessdest.strangled[.]net
bookstore.strangled[.]net
bug.ignorelist[.]com
cars-online.zapto[.]org
chinafood.chickenkiller[.]com
coldriver.strangled[.]net
developarea.mooo[.]com
downtown.crabdance[.]com
easport-news.publicvm[.]com
eurovision.chickenkiller[.]com
fifa-rules.25u[.]com
forum.sytes[.]net
goldenroade.strangled[.]net
greateplan.ocry[.]com
health-everyday.faqserv[.]com
highhills.ignorelist[.]com
hockey-news.servehttp[.]com
industrywork.mooo[.]com
leagueoflegends.servequake[.]com
marketplace.servehttp[.]com
mediahistory.linkpc[.]net
music-world.servemp3[.]com
new-book.linkpc[.]net
newgame.2waky[.]com
newutils.3utilities[.]com
nhl-blog.servegame[.]com
nightstreet.toh[.]info
olympik-blog.4dq[.]com
onlineshop.sellclassics[.]com
pressforum.serveblog[.]net
radiobutton.mooo[.]com
sealand.publicvm[.]com
securesource.strangled[.]net
softstream.strangled[.]net
sportacademy.my03[.]com
sportnewspaper.strangled[.]net
supercar.ignorelist[.]com
supernews.instanthq[.]com
supernews.sytes[.]net
telesport.mooo[.]com
tiger.got-game[.]org
top-facts.sytes[.]net
track.strangled[.]net
wargame.ignorelist[.]com
weather-online.hopto[.]org
wintersport.mrbasic[.]com
x-files.zapto[.]org

MD5s:

0328dedfce54e185ad395ac44aa4223c
18da7eea4e8a862a19c8c4f10d7341c0
2a7670aa9d1cc64e61fd50f9f64296f9
49d6cf436aa7bc5314aa4e78608872d8
a44ee30f9f14e156ac0c2137af595cf7
b0a1301bc25cfbe66afe596272f56475
bcfee2fb5dbc111bfa892ff9e19e45c1
d6211fec96c60114d41ec83874a1b31d
e29a3cc864d943f0e3ede404a32f4189
f5916f8f004ffb85e93b4d205576a247
594cb9523e32a5bbf4eb1c491f06d4f9
d5bd7211332d31dcead4bfb07b288473

Kaspersky Lab products detect the above Turla samples with the following verdicts:

Backdoor.Win32.Turla.cd
Backdoor.Win32.Turla.ce
Backdoor.Win32.Turla.cl
Backdoor.Win32.Turla.ch
Backdoor.Win32.Turla.cj
Backdoor.Win32.Turla.ck
Trojan.Win32.Agent.dne

  1. Agent.btz: a Source of Inspiration?
  2. The Epic Turla operation
  3. The ‚Penquin‘ Turla

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.