他们劫持合法用户的通信卫星IP地址,然后用来盗取数据,以隐藏他们的C2。卡巴斯基的研究人员发现,至少从2007年开始,图拉就已经使用这种隐蔽的技术了。 图拉是一个高度复杂的网络间谍组织,有可能背后为俄罗斯政府支持。十几年来,进行着目标为政府机构、大使馆和军队的网络间谍活动。全世界四十多个国家,都是其活动目标,包括哈萨克斯坦、中国、越南和美国,尤其是东、中欧国家。 图拉使用各种方法和手段感染目标系统并盗取数据,但最高端的莫属于通过劫持卫星链路来隐藏他们的命令控制服务器(C2)了。 起初,黑客通过多层代理来隐藏他们的服务器。但这种方法并不保险,还是有可能被追溯到服务器的提供方,然后被关闭并被做为司法证据。 “C2是网络犯罪或网络间谍活动成败攸关的核心,因此隐藏服务器的物理地址对于他们来说非常的重要。” 卫星链路互联网提供商覆盖的地理区域要比普通互联网提供商大的多,可横跨多个国家甚至是大洲,因此追踪使用卫星IP地址的计算机难度非常之大。 “实际上,这种技术让找到并关闭他们的命令服务器变得不可能,”卡巴斯基安全研究人员塔纳西认为。“无论你使用多少层代理来隐藏服务器,调查人员只要持续追踪下去,最终能找到真实的IP地址,这只是一个时间问题。但对于卫星链路,几乎是不可能的。” 劫持卫星链路的原理 卫星互联网连接并不算新技术,已经应用了至少二十年,在一些偏远或没有高速网络连接的地区尤为普遍。
|