國(guó)家支持的黑客組織在盜竊數(shù)據(jù)時(shí)，最怕的就是被人定位到命令控制服務(wù)器，被切斷與目標(biāo)機(jī)器的聯(lián)系。于是，這伙講俄語(yǔ)的間諜黑客組織–圖拉(Turla)，想到了一個(gè)絕妙的主意。

他們劫持合法用戶的通信衛(wèi)星IP地址，然后用來(lái)盜取數(shù)據(jù)，以隱藏他們的C2。卡巴斯基的研究人員發(fā)現(xiàn)，至少?gòu)?007年開(kāi)始，圖拉就已經(jīng)使用這種隱蔽的技術(shù)了。

圖拉是一個(gè)高度復(fù)雜的網(wǎng)絡(luò)間諜組織，有可能背后為俄羅斯政府支持。十幾年來(lái)，進(jìn)行著目標(biāo)為政府機(jī)構(gòu)、大使館和軍隊(duì)的網(wǎng)絡(luò)間諜活動(dòng)。全世界四十多個(gè)國(guó)家，都是其活動(dòng)目標(biāo)，包括哈薩克斯坦、中國(guó)、越南和美國(guó)，尤其是東、中歐國(guó)家。

圖拉使用各種方法和手段感染目標(biāo)系統(tǒng)并盜取數(shù)據(jù)，但最高端的莫屬于通過(guò)劫持衛(wèi)星鏈路來(lái)隱藏他們的命令控制服務(wù)器(C2)了。

起初，黑客通過(guò)多層代理來(lái)隱藏他們的服務(wù)器。但這種方法并不保險(xiǎn)，還是有可能被追溯到服務(wù)器的提供方，然后被關(guān)閉并被做為司法證據(jù)。

“C2是網(wǎng)絡(luò)犯罪或網(wǎng)絡(luò)間諜活動(dòng)成敗攸關(guān)的核心，因此隱藏服務(wù)器的物理地址對(duì)于他們來(lái)說(shuō)非常的重要。”

衛(wèi)星鏈路互聯(lián)網(wǎng)提供商覆蓋的地理區(qū)域要比普通互聯(lián)網(wǎng)提供商大的多，可橫跨多個(gè)國(guó)家甚至是大洲，因此追蹤使用衛(wèi)星IP地址的計(jì)算機(jī)難度非常之大。

“實(shí)際上，這種技術(shù)讓找到并關(guān)閉他們的命令服務(wù)器變得不可能，”卡巴斯基安全研究人員塔納西認(rèn)為。“無(wú)論你使用多少層代理來(lái)隱藏服務(wù)器，調(diào)查人員只要持續(xù)追蹤下去，最終能找到真實(shí)的IP地址，這只是一個(gè)時(shí)間問(wèn)題。但對(duì)于衛(wèi)星鏈路，幾乎是不可能的。”

劫持衛(wèi)星鏈路的原理

衛(wèi)星互聯(lián)網(wǎng)連接并不算新技術(shù)，已經(jīng)應(yīng)用了至少二十年，在一些偏遠(yuǎn)或沒(méi)有高速網(wǎng)絡(luò)連接的地區(qū)尤為普遍。

一種最為流行和成本最低的衛(wèi)星鏈路就是只限下行(downstream-only)，主要用于更快的下載速度，因?yàn)樾l(wèi)星連接傾向于提供比其他連接方法更大的帶寬。從用戶計(jì)算機(jī)中出來(lái)的流量通過(guò)撥號(hào)或其他連接，從衛(wèi)星連接過(guò)來(lái)的流量直接進(jìn)入用戶計(jì)算機(jī)。因?yàn)椋l(wèi)星通信沒(méi)有加密，黑客可以架設(shè)天線來(lái)劫持?jǐn)?shù)據(jù)。圖拉就是利用這一點(diǎn)，來(lái)劫持并使用合法衛(wèi)星鏈路用戶的IP地址。

衛(wèi)星系統(tǒng)的一些漏洞早在2009年和2010年的黑帽大會(huì)上就有所披露，但圖拉的黑客更早，他們從至少?gòu)?007年就開(kāi)始使用這些漏洞來(lái)劫持衛(wèi)星鏈路了?？ò退够l(fā)現(xiàn)了圖拉在2007年編譯的惡意軟件，其中包含兩個(gè)硬編碼的IP地址，其中一個(gè)屬于德國(guó)的衛(wèi)星互聯(lián)網(wǎng)服務(wù)提供商。

要想使用被劫持的衛(wèi)星連接來(lái)盜取數(shù)據(jù)，攻擊者首先要用包含硬編碼域名(命令控制服務(wù)器)在內(nèi)的惡意軟件感染目標(biāo)計(jì)算機(jī)，但黑客并沒(méi)有使用靜態(tài)IP地址，而是使用了動(dòng)態(tài)DNS主機(jī)，可允許他們?nèi)我飧淖僆P地址。

接下來(lái)，攻擊者使用天線來(lái)拾取衛(wèi)星信號(hào)流量，并收集合法衛(wèi)星用戶的IP地址。受感染計(jì)算機(jī)上的惡意軟件會(huì)聯(lián)系到合法衛(wèi)星用戶的IP地址上，并初始化TCPIP連接。但用戶的計(jì)算機(jī)會(huì)放棄這個(gè)連接，因?yàn)樵摯瓮ㄐ耪?qǐng)求的目標(biāo)不是用戶計(jì)算機(jī)，而是攻擊者的命令控制服務(wù)器。這樣，攻擊者的服務(wù)器就使用了一個(gè)合法衛(wèi)星用戶的IP地址建立了一個(gè)流量通道，從目標(biāo)計(jì)算機(jī)即受感染的計(jì)算機(jī)上盜取數(shù)據(jù)。數(shù)據(jù)雖然會(huì)經(jīng)過(guò)合法衛(wèi)星用戶的系統(tǒng)，但系統(tǒng)會(huì)將其丟棄。

塔內(nèi)西表示，合法衛(wèi)星用戶并不會(huì)注意到他的衛(wèi)星鏈路被劫持，除非他去檢測(cè)日志，并且發(fā)現(xiàn)被衛(wèi)星調(diào)制解調(diào)器丟棄的數(shù)據(jù)包。“也許會(huì)發(fā)現(xiàn)意外的請(qǐng)求，但很可能被認(rèn)為是互聯(lián)網(wǎng)的信號(hào)噪聲，”而不是可疑流量。

但是，該方法并不能用于長(zhǎng)期的盜取數(shù)據(jù)。因?yàn)椋l(wèi)星互聯(lián)網(wǎng)連接是單向的，非常不穩(wěn)定。而且，合法用戶隨時(shí)還可能下線而導(dǎo)致攻擊者使用的IP失效。塔納西表示，這種方法僅見(jiàn)于針對(duì)最高端的目標(biāo)，其要求攻擊者高度的匿名性，圖拉并不經(jīng)常使用。

研究人員還發(fā)現(xiàn)，雖然圖拉使用全世界的衛(wèi)星通信，但主要在集中在兩個(gè)特定的區(qū)域–中東和非洲，如剛果、尼日利亞、黎巴嫩、索馬里和阿聯(lián)酋。

劫持過(guò)程很容易，成本也很低。只需一個(gè)碟形衛(wèi)星天線，一些電纜和一臺(tái)衛(wèi)星調(diào)制解調(diào)器，總共花費(fèi)約1000美元。

這并不是卡巴斯基首次發(fā)現(xiàn)黑客組織利用衛(wèi)星鏈路來(lái)維護(hù)他們的命令控制服務(wù)器，之前的Hacking Team銷售給執(zhí)法部門(mén)和情報(bào)機(jī)關(guān)的工具中，就包括了這種方法。而這種方法一旦被大量的網(wǎng)絡(luò)犯罪組織掌握并使用，對(duì)于執(zhí)法部門(mén)和安全研究人員來(lái)說(shuō)，再想像以前那樣找到并關(guān)閉作惡者的服務(wù)器，無(wú)疑會(huì)變得非常困難。