Auteur Sujet: Des malwares font remonter l'information en interceptant le trafic satellite  (Lu 2416 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 32 826
    • Twitter LaFibre.info
[Edit : Source d'origine (en anglais) : https://securelist.com/blog/research/72081/satellite-turla-apt-command-and-control-in-the-sky/
                                                                  ↑ (Beaucoup plus intéressant) ↑]




Les pirates de Turla jouent à cache-cache grâce aux satellites

Cela ne fonctionne pas en Europe, car les satellites sont de conception plus modernes, avec des connexions chiffrées.

Le groupe de cybercriminels Turla masque les ordres vers ses serveurs de commandes et contrôle via les liaisons satellitaires.

Vivons heureux, vivons cachés ! Tel est le credo des cybercriminels qui développent des APT (Advanced Persitent Threat). Et les cybercriminels du groupe Turla ont trouvé une méthode originale pour masquer leurs méfaits. Ils sont capables d’intercepter du trafic Internet de certains satellites et de l’utiliser pour masquer l’emplacement de leurs serveurs de Commandes et Contrôle (C&C). Ils s’appuient pour cela sur des faiblesses de sécurité de la communication par satellites.

C’est ce qui ressort des travaux réalisés par Stefan Tanase, chercheur chez Kaspersky. Il a décortiqué les actions prêtées à ce groupe, qui œuvre depuis au moins 2007 et qui est à l’origine d’un rootkit sophistiqué baptisé Uburos découvert en 2014. On soupçonne cette organisation, spécialisée dans le cyberespionnage, d’être d’origine russe ou, pour le moins, russophone.

Dans ses recherches, le spécialiste constate qu’il y a plusieurs années, les satellites qui tournent en orbite autour de la terre ont été utilisés pour apporter de l’Internet dans certaines zones reculées. Or, la communication descendante, via le protocole DVB-S, de ces satellites n’est pas chiffrée. Une manne pour les cybercriminels de Turla qui en profitent pour détourner ce trafic.

Une méthode pratiquement indétectable

Concrètement, ils ont acquis une antenne parabolique et une carte d’acquisition du signal pour « snifer » le trafic dans une zone couverte par le satellite. Ils ont également pris des locaux dans cette zone pour y installer les serveurs C&C reliés à une connexion Internet fixe. Le modus operandi s’apparente alors à une attaque de type MITM (Man in The Middle). A travers le trafic descendant des satellites, il récupère une adresse IP d’un utilisateur, envoie des données depuis cette adresse à des PC pour les infecter puis pilote les malwares ainsi déployés sans que l’utilisateur s’en rende compte (cf schéma ci-dessous).



La méthode est aussi quasiment indétectable, car les satellites diffusent des données sur une large zone de couverture (plusieurs milliers de kilomètres). Il n’est pas nécessaire pour les pirates d’être proches de leur victime (jusqu’à une centaine de kilomètres).

Ce modus operandi permet de garder un haut degré d’anonymat. Les zones ciblées par les pirates sont l’Afrique et le Moyen-Orient. L’Amérique du Nord et l’Europe sont épargnées, car ces zones sont desservies par des satellites de conception plus modernes avec des connexions chiffrées. Pour autant, Stefan Natase constate que les liens satellites ne restent jamais actifs très longtemps, en général quelques mois. Deux raisons peuvent expliquer ce phénomène : soit il s’agit d’une auto-limitation fixée par Turla, soit les fournisseurs de services satellitaires coupent le lien face à un comportement identifié comme malveillant.

La technique des liens satellitaires n’est pas nouvelle, souligne le chercheur de Kaspersky. Au moins trois groupes l’ont déjà pratiqué : Hacking Team, Xumuxu et Rocket Kitten APT. Cependant, l’équipe de Turla l’a amélioré et à moindre coût. L’investissement de départ est sous la barre des 1 000 dollars (notamment avec l’antenne, plus une carte tuner DVB-S), la maintenance coûterait moins de 1 000 dollars par an. Un coût et une simplicité qui étonne le spécialiste, habitué à la complexité des techniques du groupe de cybercriminels.


Source : Silicon le 10 septembre 2015 par Jacques Cheminat.
« Modifié: 10 septembre 2015 à 19:07:46 par Marin »

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 783
  • 73
Des malwares font remonter l'information en interceptant le trafic satellite
« Réponse #1 le: 10 septembre 2015 à 20:40:41 »
Quelques commentaires sur le traitement de l'information par Silicon.fr :

Le groupe de cybercriminels Turla [...]

Je ne sais pas quel stéréotype précis ils essayent de véhiculer, mais à ce niveau de sophistication (ce qu'on désigne par le buzzword "APT") c'est à 99 % du malware créés par des gouvernements. (C'est d'ailleurs ce qu'a suggéré ouvertement G-DATA dans son communiqué et son analyse de la plateforme concernée (fév. 2014)).

Kaspersky fait exprès de donner des petits noms à ses équipes de dev. de malwares pour éviter de désigner trop directement certaines instances supputées, mais cet article donne l'impression que journaliste "un-peu-simplet" de Silicon.fr l'a pris au pied de la lettre.

Vivons heureux, vivons cachés ! Tel est le credo des cybercriminels qui développent des APT

Sans blague ?

les cybercriminels du groupe Turla ont trouvé une méthode originale pour masquer leurs méfaits

Je crois que c'est une phrase très simpliste qui résume mal la globalité de l'action. Il faut voir quels sont les "méfaits" du "groupe de cybercriminels" précisèment visés ici : ce n'est en aucun cas la compromission de la cible, ce n'est que la remontée des informations. Ensuite, la non-remontée physique à la première machine de destination est un enjeu bien différent de l'anonymat global (""""masquer"""") et on manque clairement de discernement ici. Cela prête déjà à la confusion.

Les pirates de Turla jouent à cache-cache grâce aux satellites

On passe l'infantilisation...

Ils s’appuient pour cela sur des faiblesses de sécurité de la communication par satellites.

Je crois qu'on enjolive un peu trop le non-chiffrement des informations (aka "la présence de rien"). L'idée de "faiblesses de sécurité" implique quelque chose comme une faille ou une vraie erreur de conception 'inconsciente', au moins dans un système censé promettre quelque chose...

A travers le trafic descendant des satellites, il récupère une adresse IP d’un utilisateur, envoie des données depuis cette adresse à des PC pour les infecter puis pilote les malwares ainsi déployés sans que l’utilisateur s’en rende compte (cf schéma ci-dessous).

Là c'est le plus gros instant de délire de l'article. Non le rookit Uroburos (pas Uburos) n'est pas un mal qui se transmet par les airs comme la peste noire, ce n'est que l'agent déjà présent sur la machine cible qui fait remonter les informations qu'il a sélectionnées.

La seule voie retour mentionnée par l'article d'origine de Kaspersky est au passage l'envoi d'un paquet type "SYN ACK" via une adresse spoofée, il ne s'attarde pas vraiment sur la globalité du protocole de communication.

Un coût et une simplicité qui étonne le spécialiste, habitué à la complexité des techniques du groupe de cybercriminels.

Nut nut nut, ce n'est pas ce qu'il a dit. Il n'a pas dit que c'était réellement plus simple par rapport aux modes opératoires habituels (heureusement !), juste que dans ces conditions il était étonné de ne pas voir plus d'utilisation faîte de cette technique.

Voilà, pour être juste si j'ai bien compté on a déjà une majorité de mots qui ne sont pas du bullshit, ce qui n'est pas un si mauvais score.

Madison

  • Invité
Des malwares font remonter l'information en interceptant le trafic satellite
« Réponse #2 le: 11 septembre 2015 à 02:44:08 »
Rien d'intéressant au final, c'est surtout du spoofing d'IP et pas une compromission des satellites en eux mêmes.

Leon

  • Client SFR sur réseau Numericable
  • Modérateur
  • *
  • Messages: 4 295
Des malwares font remonter l'information en interceptant le trafic satellite
« Réponse #3 le: 11 septembre 2015 à 13:00:18 »
Dans ses recherches, le spécialiste constate qu’il y a plusieurs années, les satellites qui tournent en orbite autour de la terre ont été utilisés pour apporter de l’Internet dans certaines zones reculées. Or, la communication descendante, via le protocole DVB-S, de ces satellites n’est pas chiffrée. Une manne pour les cybercriminels de Turla qui en profitent pour détourner ce trafic.
Des communications satellites non cryptées? en 2015? Ca existe vraiment?

Leon.

mattmatt73

  • Expert.
  • Client Bbox fibre FTTH
  • *
  • Messages: 6 324
  • vancia (69)
Des malwares font remonter l'information en interceptant le trafic satellite
« Réponse #4 le: 11 septembre 2015 à 20:04:40 »
Des communications satellites non cryptées? en 2015? Ca existe vraiment?

Leon.

oui....

thenico

  • Expert.
  • Client OVH
  • *
  • Messages: 829
  • FTTH >500 Mb/s et FTTLA 100 Mb/s (13)
Des malwares font remonter l'information en interceptant le trafic satellite
« Réponse #5 le: 12 septembre 2015 à 01:36:06 »
Les vielles technos ne meurent que très difficilement.

 

Mobile View