45'ten fazla ülkede kamu hedeflerine sızarak bilgi çalan Rus siber korsanlık grubunun izlerini gizlemek için uyduların şifrelenmeyen internet erişim hizmetini kullandığı ortaya çıktı.
Rus siber casusluk grubu Turla'nın izlerini kaybettirmek için için uydulardaki güvenlik açıklarından yaralandığı ortaya çıktı. 8 yılı aşkın bir süredir faal olan Turla, karmaşık yapıya sahip bir siber casusluk grubu. Bu gizemli grup, Kazakistan, Rusya, Çin, Vietnam ve ABD dahil 45'ten fazla ülkede, özellikle kamu kurumlarını hedef alarak yüzlerce bilgisayara virüs bulaştırmış durumda. Etkilenen kurum türleri arasında kamu kuruluşları ve elçiliklerin yanısıra savunma, eğitim, araştırma ve ilaç şirketleri de var.
Turla grubunun korsanları, sızdıkları sistemlerde kurbanın profilini çıkarıyor. Kaspersky Lab uzmanlarına göre, sadece en yüksek profilli hedefler için izlerini silmelerine yardımcı olan kapsamlı uydu haberleşmesi kullanıyorlar. Uydu haberleşmesinin genellikle TV yayınları ve güvenli haberleşme için kullanıldığı bilinir; bununla birlikte internet erişimi için de kullanılır. Bu gibi hizmetler genellikle tüm diğer internet erişim yöntemlerinin ya istikrarsız ya yavaş ya da hiç bulunmadığı uzak konumlarda kullanılıyor. En yaygın kullanılan ve uygun maliyetli uydu tabanlı internet bağlantısı, sadece aşağı akış adı verilen bağlantı.
Bu bağlantı türünde bir kullanıcının bilgisayarından dışarıya giden talepler klasik hatlar (kablolu veya GPRS bağlantılı) üzerinden iletilirken gelen trafiğin tamamı uydu üzerinden gerçekleştirilir. Bu teknoloji kullanıcının nispeten yüksek bir indirme hızından faydalanmasını sağlıyor. Ancak büyük bir dezavantajı var; aşağı akış trafiğinin tamamı bilgisayara şifresiz olarak gelir. Pahalı olmayan ekipman ve yazılımların doğru setine sahip herhangi bir kötü niyetli kullanıcı kolaylıkla trafiğe müdahale edebiliyor ve bu bağlantıların kullanıcılarının indirdiği tüm verilere erişim sağlayabiliyor.
Turla grubu Komuta ve Kontrol sunucularını (C&C) hedeflenen makinelere zararlı yazılım dağıtmak için kullanıyor.
Turla grubu bu risklerden şu şekilde korunuyor:
1. Grup öncelikle, o sırada çevrimiçinde olan uydu tabanlı internet kullanıcılarının aktif IP adreslerini belirlemek için uydudan aşağı akımı 'dinler'.
2. Yasal kullanıcısı fark etmeden bir C&C sunucusunu maskelemek için kullanılacak olan çevrimiçi IP adresini seçerler.
3. Ardından Turla'nın virüs bulaştırdığı makinelere, düzenli uydu tabanlı internet kullanıcılarından seçilen IP'lerden veri çalma talimatı verilir. Veriler, klasik hatlardan uydu İnternet sağlayıcıların teleportlarına ve oradan da uyduya ve en sonunda uydudan seçilen IP'lerin sahipleri olan kullanıcılara ulaşır.
