Mai mulți hackeri ruși sunt acuzați de accesarea unor sateliți

Grupul, care operează Ouroboros – un malware agresiv cunoscut și sub numele de „Snake” sau „Turla” -, a fost demascat anul trecut drept cel care a organizat operațiuni agresive de spionaj împotriva Ucrainei, dar și a unei serii de organizații guvernamentale europene și americane, timp de aproape un deceniu, relatează Financial Times în pagina electronică.

Într-un raport prezentat miercuri, firma specializată în securitate informatică și informații Kaspersky Labs, una dintre primele care au analizat activitățile hackerilor Ouroboros în 2014, a anunțat că a identificat că grupul utilizează un nou canal „rafinat” de atac, care era practic nedectabil.

Metoda, care folosește comunicațiile spațiale, are scopul să ascundă locul în care se află așa-numitele servere de „comandă și control”, care transmit instrucțiuni sistemelor infectate cu malware-ul.

MARIUS TUCĂ SHOW Dan Dungaciu: „Guvernul Bolojan începe să conducă prin ordonanțe sau alte forme care n-au nicio legătură cu democrația”

23:30

CONTROVERSĂ Consilierul și fanul premierului Bolojan, influencerul Iancu Guda, propune o măsură radicală în lupta cu corupția: executarea averilor prin sechestru până la rude de gradul 3 până se lămurește traseul banilor

23:05

Însă nevoia hackerilor de a comunica în mod regulat, pentru a extrage informații de pe dispozitivele pe care le-au compromis, le poate permite apărătorilor acestor rețele să identifice atacurile în curs de desfășurare și să le detecteze originile.

„Această metodă face aproape imposibilă descoperirea locului în care se află aceste servere (de comandă)”, a declarat Stefan Tenase, un cercetător de rang înalt de la Kaspersky. „Pot să spun cu certitudine că acesta este nivelul ultim de anonimitate la care a ajuns vreodată vreun grup de spionaj, în efortul de a-și ascunde originile”, a adăugat el.

Accesarea unor sateliți de către Ouroboros exploatează faptul că cea mai mare parte a comunicațiilor cu sateliții comerciali – cele trimise de sateliți pe Pământ – sunt neîncriptate și pot fi accesate.

Potrivit Kaspersky, acest proces presupune un număr de pași.

Mai întâi, malware-ul Ouroboros trimite o cerere de instrucțiuni. În timp ce o asemenea solicitare ar merge direct la serverul de comandă și control – iar astfel ar fi depistabil -, Ouroboros trimite în schimb cererea unui server folosit ca momeală, fără să știe, care a fost selectat deoarece hackerii l-au identificat ca utilizator de comunicații prin satelit.

Solicitarea Ouroboros este, atunci, direcționată în mod automat către un satelit comercial și transmisă către Pământ, către locul momelii.

Odată ce serverul folosit ca momeală primește cererea de instrucțiuni, o ignoră, deoarece solicitarea nu are sens pentru el.

Însă satelitul a transmis solicitarea într-o arie geografică largă. Un receptor ascuns oriunde în zona respectivă, „plantat” de către operatorii Ouroboros, poate prelua solicitarea neîncriptată. Receptorii emit, atunci, un răspuns către Ouroboros, deghizat în comunicație care se întoarce de la momeală.

Orice apărător care caută să depisteze comunicații de la Ouroboros către cei care-l controlează îi vor pierde, astfel, urma, din punctul în care datele devin un semnat transmis de către un satelit, rupând astfel în mod eficient orice legătură digitală directă.

Cei care controlează Ouroboros par să aibă o preferință față de operatori de sateliți din Orientul Mijlociu și Africa, potrivit raportului Kaspersky. În funcție de suprafața „farfuriei” antenei parabolice a acestora, zona pe care anchetatorii din domeniul contrainformațiilor o vor avea de cercetat în căutarea receptoarelor Ouroboros poate fi de la câteva zeci la câteva mii de kilometri pătrați.

„Receptoarele nu sunt neapărat scumpe, însă găsirea unui amplasament fizic pentru ele arată că există un fel de rețea de susținere logistică vastă”, a declarat Tenase. Asemenea operațiuni arată cu degetul către un serviciu de informații de stat, a adăugat el.

Oficiali occidentali din domeniul securității au declarat anterior pentru Financial Times că ei cred că Ouroboros este o operațiune rusească – un fapt susținut de țintele grupului și indiciile din codarea malware-ului însuși.

Operatorii satelitului sunt, în ceea ce-i privește, neputincioși în a-i împiedica pe hackeri să trimită solicitări prin rețelele lor – cel puțin în următorii câțiva ani. Singura modalitate de a face ceva, în opinia unor experți, este să-și încripteze toate comunicațiile din aval – un proces care ar necesita lansarea unei întregi noi panoplii de sateliți.