Turla via Satellite, quando il Centro di Comando e Controllo APT è su nel Cielo

Avete mai guardato i programmi trasmessi dalla TV satellitare? Non vi siete forse meravigliati dell’enorme varietà di canali televisivi e stazioni radio disponibili? Non vi siete mai stupiti del funzionamento dei telefoni satellitari o delle connessioni Internet via satellite? E se vi dicessimo che con le connessioni Internet satellitari si può ottenere molto di più che semplice intrattenimento, notizie sul traffico o previsioni meteo? Molto, molto di più.

Quando si è un gruppo APT, debbono essere affrontate numerose problematiche, di varia natura. Una di esse, forse la più rilevante in assoluto, è rappresentata dal sequestro e dal costante smantellamento dei domini e dei server utilizzati per le operazioni di comando e controllo (C&C). Tali server vengono di continuo “confiscati” dalle forze dell’ordine, oppure disattivati dagli stessi ISP. Talvolta, possono persino essere utilizzati per risalire all’effettiva ubicazione fisica degli attacker.

Alcuni degli attori APT più sofisticati, o degli utenti più avanzati di strumenti di hacking disponibili in commercio, hanno trovato una “comoda” soluzione al problema del takedown dei server e dei domini, costituita dall’utilizzo dei collegamenti Internet via satellite. In passato, abbiamo visto tre diversi attori APT fare uso di tali connessioni per mascherare le operazioni condotte. Tra di essi, quello più interessante e singolare è indubbiamente il gruppo Turla.

Ugualmente conosciuto con gli appellativi di “Snake” od “Uroburos” (il nome dell’antico simbolo che raffigura il serpente che si morde la coda), nomi che derivano dal rootkit “top-class” di cui tale attore APT si avvale, il gruppo di cyber-spionaggio Turla è ormai attivo da oltre 10 anni. Sono stati pubblicati numerosi documenti riguardo alle operazioni condotte dal gruppo in questione; ad ogni caso, sino alla pubblicazione, da parte di Kaspersky Lab, dell’indagine “Epic Turla“, risultavano disponibili solo poche informazioni sugli aspetti più insoliti delle attività svolte dal gruppo, come, ad esempio, le prime fasi del processo di infezione realizzate mediante l’impiego di specifici attacchi “watering-hole”.

Ciò che rende il gruppo Turla davvero speciale non è tanto la complessità dei tool da esso utilizzati, che comprendono, tra l’altro, il famigerato rootkit Uroboros, alias “Snake”, così come i sofisticati meccanismi appositamente progettati per bypassare gli air gap implementati a livello di reti proxy multi-stadio situate all’interno delle LAN – quanto piuttosto la raffinata tecnica C&C, basata su satellite, utilizzata nelle fasi finali dell’attacco.

In questo blogpost, cercheremo di fare ancor più luce sui meccanismi C&C di comando e controllo “via satellite” di cui si avvalgono i vari gruppi APT – incluso il gruppo Turla/Snake – per sorvegliare le loro vittime di profilo più elevato. Visto che l’utilizzo di queste tecniche è sempre più diffuso, risulta di particolare importanza, per gli amministratori di sistema, implementare le corrette strategie di difesa, allo scopo di mitigare tali attacchi. Per ciò che riguarda gli IOC (Indicators of Compromise, indicatori di compromissione), si prega di consultare l’appendice.

Dettagli tecnici

Sebbene si tratti di un evento relativamente insolito, dal 2007 in poi vari gruppi APT di élite hanno fatto uso – ed abusato – dei collegamenti satellitari per condurre le loro operazioni; nella maggior parte dei casi, proprio per gestire le loro infrastrutture C&C. Turla è uno di questi. L’utilizzo di un simile approccio offre dei vantaggi non indifferenti, come, ad esempio, il fatto di rendere particolarmente difficile l’identificazione degli operatori che si celano dietro l’attacco eseguito; al tempo stesso, tuttavia, esso comporta determinati rischi per gli attaccanti.

Da un lato, quindi, tale approccio si rivela molto utile e vantaggioso in quanto non possono essere facilmente individuati né la location del server C&C, né il relativo hardware di cui si fa effettivamente uso; al tempo stesso, non si corre il rischio di possibili sequestri “fisici” delle apparecchiature utilizzate. I ricevitori per Internet via satellite possono essere di fatto ubicati in qualsiasi luogo compreso nell’area geografica coperta da un determinato satellite, area che, generalmente, è sempre piuttosto estesa. Il metodo di cui si avvale il gruppo Turla per realizzare l’hijacking delle connessioni downstream è altamente anonimo e non richiede, ovviamente, la sottoscrizione di alcun tipo di abbonamento per poter usufruire di Internet attraverso il collegamento satellitare.

Dall’altro lato, lo svantaggio nell’utilizzo dell’approccio sopra descritto deriva dal fatto che, in genere, la connessione Internet via satellite è lenta e può rivelarsi instabile.

Inizialmente, non risultava chiaro, né a noi, né ad altri ricercatori, se alcuni dei collegamenti tenuti sotto osservazione fossero effettivamente connessioni Internet satellitari di tipo commerciale, acquistate dagli attacker, o se gli attaccanti avessero invece violato alcuni servizi ISP ed eseguito, successivamente, attacchi di tipo Man-in-the-Middle (MitM) a livello di router, per effettuare l’hijacking del flusso di dati. Abbiamo provveduto ad analizzare accuratamente tali meccanismi e siamo giunti alla sorprendente conclusione che il metodo utilizzato dal gruppo Turla è incredibilmente semplice e lineare, così come altamente anonimo, nonché molto economico e conveniente dal punto di vista dell’operatività e della gestione.

Collegamenti satellitari a tutti gli effetti, attacchi MitM o BGP hijacking?

L’acquisto di collegamenti Internet via satellite rappresenta una delle opzioni che i gruppi APT possono scegliere per assicurare il loro traffico C&C. Tuttavia, le connessioni satellitari full duplex possono rivelarsi molto costose: un semplice collegamento satellitare duplex up/down da 1Mbit può in effetti costare fino a 7.000 dollari USD a settimana. Per i contratti a lungo termine tale costo può diminuire in maniera sensibile, ma l’utilizzo della larghezza di banda rimane comunque molto oneroso.

Un altro modo per ricavare un server C&C nel range di IP di cui dispone un satellite consiste nell’effettuare l’hijacking del traffico di rete tra la vittima e l’operatore satellitare, per poi iniettare dei pacchetti lungo il percorso. Questo richiede lo sfruttamento dello stesso provider satellitare, oppure di un altro ISP che si trova sul percorso.

Tali tipologie di attacchi hijacking sono state già osservate in passato, ed ampiamente documentate da Renesys (attualmente parte di Dyn) in un blogpost datato novembre 2013.

Secondo Renesys: “È stato effettuato l’hijacking di determinate route BGP (Border Gateway Protocol) riconducibili a vari provider; ne è conseguito che una porzione del loro traffico Internet è stato dirottato e fatto fluire attraverso ISP bielorussi e islandesi. Disponiamo di precisi dati di routing BGP che mostrano l’evoluzione, secondo per secondo, di 21 eventi bielorussi, nei mesi di febbraio e maggio 2013, e di 17 eventi islandesi, nel periodo luglio-agosto 2013.”

Attraverso un blogpost più recente, del 2015, i ricercatori Dyn fanno notare quanto segue: “Per gli analisti della sicurezza che provvedono ad esaminare i log di avvertimento, è di particolare importanza rendersi conto del fatto che gli indirizzi IP identificati come fonte degli incidenti occorsi possono essere, e sono, regolarmente oggetto di spoofing. Ad esempio, un attacco che è sembrato provenire da un IP Comcast, situato nel New Jersey, potrebbe essere stato condotto, in realtà, da un hijacker ubicato nell’Europa Orientale, che, in pratica, ha “requisito” lo spazio IP di Comcast. È indubbiamente interessante rilevare come tutti e sei i casi qui sopra esaminati siano stati di fatto “pilotati” dal territorio dell’Europa o della Russia.”

Ovviamente, tali attacchi su larga scala, incredibilmente evidenti e manifesti, hanno poche possibilità di sopravvivere per lunghi periodi di tempo, fattore – quest’ultimo – che costituisce uno dei requisiti fondamentali nella conduzione di un’operazione APT. Risulta quindi non particolarmente fattibile realizzare un attacco attraverso l’hijacking di tipo “Man-in-the-Middle” del traffico, a meno che gli attaccanti non abbiano il controllo diretto su alcuni punti della rete caratterizzati da traffico elevato, quali, ad esempio, i router backbone o la fibra ottica. Vi sono precisi segnali riguardo al fatto che simili attacchi stiano divenendo sempre più comuni; esiste, tuttavia, un modo molto più semplice per dirottare il traffico Internet via satellite.

Hijacking delle connessioni satellitari DVB-S

L’hijacking dei collegamenti satellitari DVB-S (Digital Video Broadcasting – Satellite) è stato già descritto alcune volte, in passato; ad esempio, un’esauriente presentazione sul modo di realizzare l’hijacking delle connessioni satellitari DVB è stata effettuata al BlackHat 2010 da Leonardo Nve Egea, ricercatore presso S21Sec.

Per dirottare le connessioni satellitari DVB-S, occorrono i seguenti elementi:

• Un’antenna parabolica – le dimensioni della stessa dipendono dalla posizione geografica e dal satellite.
• Un convertitore low-noise block (LNB).
• Un sintonizzatore DVB-S dedicato (scheda PCIe).
• Un PC provvisto, preferibilmente, di sistema operativo Linux.

Mentre l’antenna parabolica e il convertitore LNB sono, più o meno, elementi standard, il componente più importante in assoluto risulta forse essere la scheda. Attualmente, le migliori schede DVB-S vengono prodotte da TBS Technologies. Il modello TBS-6922SE rappresenta forse la migliore scheda entry-level per la realizzazione del task qui descritto.

La scheda PCIe TBS-6922SE, utilizzata per la ricezione dei canali DVB-S

La scheda TBS si rivela particolarmente adatta a tale compito, in quanto è dotata di driver dedicati per il kernel Linux e supporta, inoltre, una speciale funzione conosciuta come “brute-force scan” (scansione “a forza bruta”), che consente di poter testare ampi intervalli di frequenze relativamente a segnali di particolare interesse. Naturalmente, nella circostanza, potrebbero essere utilizzate anche altre schede PCI o PCIe, mentre, in genere, le schede basate su USB si dimostrano relativamente insufficienti, e dovrebbero quindi essere evitate.

A differenza delle connessioni Internet via satellite di tipo full duplex, i collegamenti Internet limitati esclusivamente al downstream vengono utilizzati per accelerare le operazioni di download dalla Rete, essendo, tra l’altro, molto economici e facili da implementare. Allo stesso tempo, questi ultimi si rivelano, per la loro stessa natura, non sicuri, visto che non fanno ricorso ad alcuna forma di crittografia per offuscare il traffico. Questo determina l’eventualità di possibili violazioni.

Le società che forniscono l’accesso ad Internet di tipo “downstream-only” utilizzano appositi teleporti per convogliare il traffico verso il satellite. Il satellite, a sua volta, trasmette il traffico verso aree più vaste, in banda Ku (12-18 Ghz), inoltrando determinate classi IP attraverso i teleporti.

Come viene effettuato l’hijacking delle connessioni Internet satellitari?

Nel momento in cui viene condotto un attacco nei confronti di connessioni Internet via satellite, sia gli utenti legittimi di tali collegamenti, sia le antenne paraboliche utilizzate dagli attaccanti, puntano verso lo specifico satellite che sta trasmettendo il traffico. Gli attacker si approfittano del fatto che i pacchetti non sono criptati, bensì in chiaro. Una volta identificato un indirizzo IP instradato attraverso la connessione satellitare downstream, gli attaccanti iniziano ad ascoltare i pacchetti provenienti da Internet e diretti verso l’IP specifico. Quando viene identificato un simile pacchetto, ad esempio un pacchetto TCP/IP SYN, essi ne determinano l’origine ed inviano poi alla sorgente dello stesso un pacchetto di risposta falsificato (ad esempio SYN ACK), avvalendosi di una linea Internet tradizionale.

Allo stesso tempo, l’utente legittimo della connessione semplicemente ignora tale pacchetto, poiché esso si dirige verso una porta altrimenti non aperta, ad esempio la porta 80 o 10080. Qui occorre fare un’importante osservazione: normalmente, se un pacchetto raggiunge una porta chiusa, viene reinviato alla sorgente un pacchetto RST o FIN, per indicare in maniera esplicita che non vi è nulla in attesa del pacchetto in questione. Tuttavia, per le connessioni lente si raccomanda l’utilizzo dei firewall per interrompere il flusso dei pacchetti verso le porte chiuse. Tale circostanza crea involontariamente l’opportunità di possibili violazioni.

I range Internet violati

Nel corso dell’analisi effettuata, è stato da noi osservato come gli attacker del gruppo APT Turla abbiano violato le connessioni satellitari DVB-S fornite da numerosi provider Internet, la maggior parte dei quali offre connessioni di tipo “downstream-only” in Medio Oriente e in Africa. È stato di particolare interesse rilevare come la copertura geografica garantita da tali beam satellitari non comprenda l’Europa o l’Asia; ciò significa che si rivela necessaria un’antenna parabolica sia in Medio Oriente che in Africa. In alternativa, nelle altre aree geografiche può essere utilizzata una parabola molto più grande (3m+) per amplificare il segnale.

Per calcolare le dimensioni dell’antenna parabolica possono essere utilizzati vari strumenti, incluso specifiche risorse online, quali, ad esempio, <satbeams.com>:

Esempio di calcolo relativo ad un’antenna parabolica – (c) www.satbeams.com

La tabella qui sotto riportata mostra alcuni dei server di comando e controllo correlati all’attore APT Turla, con domini riconducibili ad indirizzi IP appartenenti a provider di connessioni Internet via satellite:

Nota: l’indirizzo IP 84.11.79.6 è hardcoded nel blocco di configurazione del sample malevolo.

Gli IP satellitari osservati presentano le seguenti informazioni ‘WHOIS’:

Un caso interessante è verosimilmente rappresentato dall’IP 84.11.79.6, il quale rientra nel range di IP satellitari di IABG mbH.

Questo particolare IP risulta codificato a livello di C&C della seguente backdoor utilizzata dal gruppo Turla, conosciuta con la denominazione di “Agent.DNE“:

Configurazione del C&C della backdoor Agent.DNE

Questo sample di Agent.DNE presenta il seguente timestamp di compilazione: Thu Nov 22 14:34:15 2007; ciò significa che il gruppo Turla sta facendo uso di connessioni Internet satellitari da quasi otto anni.

Conclusioni

Il regolare utilizzo dei collegamenti Internet via satellite da parte del gruppo Turla rappresenta un aspetto di indubbio interesse relativamente alle operazioni condotte dall’attore APT in questione. In genere, tali connessioni rimangono attive per vari mesi; mai, tuttavia, per periodi eccessivamente lunghi. Non è ancora noto se tale circostanza è dovuta a determinate limitazioni a livello di sicurezza operativa che il gruppo in causa si auto-impone, oppure a specifiche operazioni di smantellamento condotte da altre parti, a causa del rilevamento di comportamenti malevoli.

La metodologia tecnica utilizzata per implementare tali circuiti Internet si basa sull’hijacking della larghezza di banda downstream fornita da vari ISP, e sullo spoofing dei pacchetti. Si tratta di un metodo facile da implementare dal punto vista tecnico; esso fornisce, inoltre, un livello di anonimato decisamente superiore rispetto a qualsiasi altro metodo convenzionale eventualmente impiegato, come, ad esempio, il noleggio di un VPS (Virtual Private Server) o l’hacking di un server legittimo.

Per implementare la suddetta metodologia di attacco, l’investimento iniziale risulta inferiore ai 1.000 dollari USD. Il costo per effettuare una regolare manutenzione, poi, non dovrebbe superare la cifra di 1.000 dollari all’anno. Considerando quanto tale metodo sia agevole e conveniente dal punto di vista economico, è davvero sorprendente che, per il momento, non si siano visti altri gruppi APT fare uso dello stesso. Sebbene il metodo in questione fornisca un livello di anonimato ineguagliabile, per ragioni logistiche si rivela ad ogni caso più semplice e lineare, per gli attacker, fare affidamento sull’hosting di tipo “bullet proof”, su livelli proxy multipli o siti web violati. Il gruppo Turla, effettivamente, deve la sua fama proprio al fatto di utilizzare tutte queste tecniche; ciò lo rende estremamente versatile, dinamico e flessibile nell’esecuzione delle operazioni di cyber-spionaggio condotte.

Va infine osservato come Turla non sia l’unico gruppo APT ad aver fatto uso di connessioni Internet via satellite. In precedenza, in effetti, sono stati visti sugli IP satellitari i C&C di HackingTeam, così come i C&C del gruppo Xumuxu e, più di recente, quelli relativi al gruppo APT Rocket Kitten.

Qualora tale metodo trovi una larga diffusione tra i gruppi APT o, peggio ancora, presso i gruppi cybercriminali, sorgeranno inevitabilmente dei seri problemi per la comunità dell’IT security e per quella che opera nell’ambito del controspionaggio.

* È disponibile, per i clienti di Kaspersky Intelligence Services, un documento completo riguardo all’utilizzo, da parte del gruppo Turla, dei collegamenti Internet satellitari.

Indicatori di compromissione:

IP:

84.11.79.6
41.190.233.29
62.243.189.187
62.243.189.215
62.243.189.231
77.246.71.10
77.246.76.19
77.73.187.223
82.146.166.56
82.146.166.62
82.146.174.58
83.229.75.141
92.62.218.99
92.62.219.172
92.62.220.170
92.62.221.30
92.62.221.38
209.239.79.121
209.239.79.125
209.239.79.15
209.239.79.152
209.239.79.33
209.239.79.35
209.239.79.47
209.239.79.52
209.239.79.55
209.239.79.69
209.239.82.7
209.239.85.240
209.239.89.100
217.194.150.31
217.20.242.22
217.20.243.37

Nomi degli host:

accessdest.strangled[.]net
bookstore.strangled[.]net
bug.ignorelist[.]com
cars-online.zapto[.]org
chinafood.chickenkiller[.]com
coldriver.strangled[.]net
developarea.mooo[.]com
downtown.crabdance[.]com
easport-news.publicvm[.]com
eurovision.chickenkiller[.]com
fifa-rules.25u[.]com
forum.sytes[.]net
goldenroade.strangled[.]net
greateplan.ocry[.]com
health-everyday.faqserv[.]com
highhills.ignorelist[.]com
hockey-news.servehttp[.]com
industrywork.mooo[.]com
leagueoflegends.servequake[.]com
marketplace.servehttp[.]com
mediahistory.linkpc[.]net
music-world.servemp3[.]com
new-book.linkpc[.]net
newgame.2waky[.]com
newutils.3utilities[.]com
nhl-blog.servegame[.]com
nightstreet.toh[.]info
olympik-blog.4dq[.]com
onlineshop.sellclassics[.]com
pressforum.serveblog[.]net
radiobutton.mooo[.]com
sealand.publicvm[.]com
securesource.strangled[.]net
softstream.strangled[.]net
sportacademy.my03[.]com
sportnewspaper.strangled[.]net
supercar.ignorelist[.]com
supernews.instanthq[.]com
supernews.sytes[.]net
telesport.mooo[.]com
tiger.got-game[.]org
top-facts.sytes[.]net
track.strangled[.]net
wargame.ignorelist[.]com
weather-online.hopto[.]org
wintersport.mrbasic[.]com
x-files.zapto[.]org

MD5:

0328dedfce54e185ad395ac44aa4223c
18da7eea4e8a862a19c8c4f10d7341c0
2a7670aa9d1cc64e61fd50f9f64296f9
49d6cf436aa7bc5314aa4e78608872d8
a44ee30f9f14e156ac0c2137af595cf7
b0a1301bc25cfbe66afe596272f56475
bcfee2fb5dbc111bfa892ff9e19e45c1
d6211fec96c60114d41ec83874a1b31d
e29a3cc864d943f0e3ede404a32f4189
f5916f8f004ffb85e93b4d205576a247
594cb9523e32a5bbf4eb1c491f06d4f9
d5bd7211332d31dcead4bfb07b288473

Kaspersky Lab products detect the above Turla samples with the following verdicts:

Backdoor.Win32.Turla.cd
Backdoor.Win32.Turla.ce
Backdoor.Win32.Turla.cl
Backdoor.Win32.Turla.ch
Backdoor.Win32.Turla.cj
Backdoor.Win32.Turla.ck
Trojan.Win32.Agent.dne

Riferimenti

1. Agent.btz: a Source of Inspiration?
2. The Epic Turla operation
3. The ‘Penquin’ Turla