Satellite Turla: un centre de commande pour APT dans l’espace

Ou comment les opérateurs de Turla détournent les liaisons Internet par satellite

Avez-vous déjà regardé la télévision par satellite? Avez-vous été émerveillé par la quantité de chaînes de télévision et de stations de radio disponibles? Vous est-il déjà arrivé de penser aux téléphones satellites ou aux connexions Internet par satellite et à ce qui peut les perturber? Et si nous vous disions que les connexions Internet par satellites ne se limitent pas seulement aux divertissements, au trafic et à la météo ? Elles ont bien d’autres applications.

Les groupes spécialisés dans les campagnes APT doivent faire face à de nombreux problèmes différents. L’un d’entre eux, et peut-être le plus important, est la saisie et la mise hors-service des domaines et des serveurs utilisés pour la commande. Ces serveurs sont en permanence saisis par les forces de l’ordre ou mis hors-ligne par les F.A.I. Parfois, ils permettent de remonter jusqu’à l’emplacement physique des attaquants.

Certains auteurs de menaces ou utilisateurs d’outils de piratage à la pointe des technologies ont trouvé une solution à la mise hors-service: ils utilisent des liaisons Internet par satellite. Nous avons identifié par le passé trois auteurs différents qui utilisaient de telles liaisons pour masquer leurs opérations. Parmi ceux-ci, le groupe Turla est le plus intéressant et le plus inhabituel.

Connu également sous le nom de Snake ou d’Uroburos (noms tirés de son rootkit de niveau supérieur), le groupe de cyberespionnage Turla est actif depuis plus de 8 ans. De nombreux articles ont été consacrés aux opérations du groupe, mais jusqu’à la publication des recherches de Kaspersky Lab, on en savait peu sur les aspects les plus inhabituels de ses opérations, comme les premières étapes de l’infection via des attaques organisées selon la technique du point d’eau.

Le groupe Turla est un groupe spécial en raison de la complexité non seulement de ses outils, dont le rootkit Uroboros, connu également sous le nom de « Snake », mais également des mécanismes mis au point pour déjouer les air gaps via des réseaux proxy à plusieurs niveaux au sein d’un LAN ou encore le remarquable mécanisme de commande via satellite qui intervient dans les dernière étapes de l’attaque.

Nous espérons que ce billet vous aidera à mieux comprendre les mécanismes de commande par satellite adoptés par les groupes APT, dont le groupe Turla/Snake, pour contrôler leurs victimes les plus importantes. Alors que le recours à de tels mécanismes devient de plus en plus populaires, il est primordial que les administrateurs système déploient des stratégies de défense adéquates pour atténuer ces attaques. Cf. l’annexe pour les indicateurs de compromission.

Détails techniques

Bien qu’il s’agisse d’un phénomène rare, plusieurs groupes APT appartenant à l’élite ont utilisé, voire abusé, depuis 2007 des liaisons par satellite pour gérer leurs opérations, le plus souvent leur infrastructure de commande. Turla en fait partie. Cette démarche offre plusieurs avantages. Par exemple, il est plus difficile d’identifier les opérateurs à l’origine d’une attaque. Mais elle pose également des risques pour les attaquants.

D’un côté, cette technique est avantageuse car il est impossible d’identifier facilement l’emplacement et la nature exacts du matériel du serveur de commande ou de le saisir physiquement. Les récepteurs d’Internet par satellite peuvent être placés n’importe où dans la zone de couverture du satellite, qui est en général très étendue. La méthode adoptée par le groupe Turla pour détourner les liaisons descendantes est très anonyme et ne requiert aucun abonnement valide à un service d’Internet par satellite.

Un des désavantages de la méthode est lié à la lenteur, voire à l’instabilité de la connexion Internet par satellite.

Au début, notre équipe et d’autres chercheurs ne parvenaient pas à confirmer si les liaisons observées étaient des connexions Internet par satellite commerciales achetées par les attaquants ou si les attaquants avaient compromis les F.A.I. et mis en œuvre des attaques de type « homme au milieu » au niveau du routeur pour détourner le flux. Nous avons analysé ces mécanismes et nous sommes parvenus à une conclusion étonnante : la méthode employée par le groupe Turla est incroyablement simple, directe et très anonyme, le tout pour des coûts d’exploitation et de gestion très faibles.

Véritables liaisons satellite, attaques de type « homme au milieu » ou détournement d’adresse IP?

L’achat de liaisons Internet par satellite est une des options mises à la disposition des groupes APT qui souhaitent sécuriser leur trafic de commande. Ceci étant dit, les liaisons satellite en duplex intégral peuvent couter très cher : une liaison internet ascendante/descendante de 1 Mbit en simple duplex peut coûter jusqu’à 7 000 dollars américains par semaine. Ce coût peut diminuer sensiblement pour les contrats à plus long terme, mais le coût de la bande passante reste malgré tout très élevé.

Une autre méthode qui permet d’introduire un serveur de commande dans une plage d’adresses IP d’un satellite consiste à détourner le trafic réseau entre la victime et l’exploitant du satellite et y injecter des paquets. Cette technique requiert l’exploitation du fournisseur de service satellite ou d’un autre F.A.I. sur le chemin.

Des détournements de ce genre ont été observés par le passé et ont été documentés par Renesys (qui fait désormais partie de Dyn) dans un billet publié sur un blog en novembre 2013.

D’après Renesys: « Les routes BGP de plusieurs fournisseurs ont été détournées et, par conséquent, une partie de leur trafic Internet transitait via des F.A.I. en Biélorussie et en Islande. Nous disposons de données de routage BGP qui montrent l’évolution seconde par seconde de 21 événements en Biélorussie entre février et mai 2013 et de 17 événements en Islande en juillet-août 2013 ».

Dans un billet plus récent publié en 2015, des chercheurs de Dyn signalent les éléments suivants: « Les analystes en sécurité qui étudient les journaux d’alerte doivent bien comprendre que les adresses IP identifiées comme étant à l’origine des incidents peuvent être usurpées, et c’est souvent le cas. Ainsi, une attaque qui semble provenir d’une adresse IP Comcast au New Jersey peut en réalité être le fruit d’un pirate établi en Europe de l’Est et qui a réquisitionné pendant une brève période l’espace d’adresses IP de Comcast. Il est intéressant de constater que les six cas abordés ci-dessous trouvent tous leur origine en Europe ou en Russie. »

De toute évidence, des attaques aussi évidentes et d’une telle ampleur ont peu de chance de durer pendant longtemps, ce qui n’est pas un élément favorable à l’exécution d’une opération APT. Il n’est dès lors pas envisageable d’organiser l’attaque via un détournement du trafic par homme du milieu, sauf si les attaquants disposent du contrôle direct sur certains points d’un réseau au trafic élevé, comme un routeur de segment principal ou de fibres optiques. Des signes montrent que ce genre d’attaque est de plus en plus fréquents, mais il existe une méthode beaucoup plus simple pour détourner le trafic Internet satellite.

Détournement de liaison satellite (DVB-S)

Le détournement de liaisons satellite DVB-S a été décrit à plusieurs reprises et le chercheur Leonardo Nve Egea, de chez S21Sec, a même fourni un exposé sur le détournement de liaisons satellite DVB lors de BlackHat 2010.

Pour détourner des liaisons satellite DVB-S, il faut disposer des éléments suivants:

  • Une antenne parabolique, dont la taille dépend de la position géographique et du satellite
  • Une tête universelle
  • Un syntoniseur DVB-S dédié (carte PCIe)
  • Un ordinateur, tournant de préférence sous Linux

Alors que l’antenne parabolique et la tête universelle sont plus ou moins standard, la carte est peut-être le composant le plus important. A l’heure actuelle, les meilleures cartes DVB-S sont produites par la société TBS Technologies. Et le modèle de carte TBS-6922SE est peut-être le modèle d’entrée de gamme le mieux adapté à la tâche.

Carte PCIe TBS-6922SE pour la réception des canaux DVB-S

La carte de TBS est particulièrement bien adaptée à la tâche car elle possède des pilotes de noyau Linux dédiés et elle est compatible avec une fonction connue sous le nom de balayage par force brute qui permet de rechercher des signaux intéressants dans une large gamme de fréquences. Bien sûr, d’autres cartes PCI ou PCIe pourraient fonctionner également. Il convient toutefois en général d’éviter les cartes USB qui sont relativement médiocres.

A la différence d’une connexion Internet par satellite en duplex intégral, les liaisons Internet descendantes uniquement servent à accélérer les téléchargements Internet et leur déploiement est très simple et très économe. Elles ne sont pas sécurisées par nature et n’utilise aucun chiffrement pour obfusquer le trafic. Il est dès lors possible d’en abuser.

Les sociétés qui proposent des accès Internet par satellite pour les liaisons descendantes uniquement ont recours à des téléports pour envoyer les signaux au satellite. Le satellite diffuse le trafic sur de plus grandes étendues au sol, dans la bande Ku (12 à 18 Ghz) en organisant le routage de certaines classes IP via les téléports.

Déroulement d’un détournement de connexion Internet par satellite

Pour pouvoir attaquer des connexions Internet par satellite, les antennes paraboliques des utilisateurs légitimes de ces liaisons et celles des attaquants doivent toutes les deux pointer ver le satellite qui diffuse le trafic. Les attaquants exploitent le fait que les paquets ne sont pas chiffrés. Dès qu’une adresse IP routée via la liaison descendante du satellite a été identifiée, les attaquants se mettent à l’écoute des paquets qui proviennent d’Internet et qui sont destinés à cette adresse IP en particulier. Dès qu’un paquet de ce genre a été identifié, par exemple un paquet TCP/IP SYN, les attaquants identifient la source et renvoient un paquet de réponse substitué (par exemple, SYN ACK) à la source via une ligne Internet conventionnelle.

Au même moment, l’utilisateur légitime de la liaison se contente d’ignorer le paquet car il va vers un port non ouvert, par exemple le port 80 ou 10080. Il convient de réaliser une observation importante à ce niveau : normalement, lorsqu’un paquet arrive sur un port fermé, un paquet RST ou FIN est renvoyé à la source pour signaler que rien n’attend le paquet. Toutefois, dans les liaisons lentes, l’utilisation de pare-feu est recommandée et ceux-ci sont utilisés pour simplement REJETER les paquets vers des ports fermés. Cela ouvre une porte à un abus.

Plages Internet abusées

Dans le cadre de l’analyse, nous avons vu que les attaquants Turla ont abusé de plusieurs fournisseurs d’accès Internet par satellite DVB-S qui offraient, en majorité, des uniquement des connexions descendantes au Moyen-Orient et en Afrique. Il est intéressant de noter que la couverture de ces faisceaux ne touche pas l’Europe ou l’Asie, ce qui signifie que le groupe doit avoir une antenne parabolique au Moyen-Orient ou en Afrique. On peut également envisager l’utilisation d’une antenne parabolique bien plus grande (plus de 3 m) dans d’autres régions pour renforcer le signal.

Plusieurs outils existent pour calculer la taille d’une antenne parabolique, dont des ressources en ligne comme satbeams.com:

Exemple de calcul d’antenne parabolique – (c) www.satbeams.com

Le tableau ci-dessous reprend quelques-uns des serveurs de commande liés à Turla ainsi que les domaines résolus en adresses IP de fournisseurs d’accès Internet par satellite:

IP Première apparition Hôtes
84.11.79.6 Novembre 2007 s/o, cf. remarque ci-dessous
92.62.218.99 25 février 2015 pressforum.serveblog.net
music-world.servemp3.com
209.239.79.47 27 février 2015 pressforum.serveblog.net
music-world.servemp3.com
209.239.79.52 18 mars 2014 hockey-news.servehttp.com
209.239.79.152 18 mars 2014 hockey-news.servehttp.com
209.239.79.33 25 janvier 2015 eu-society.com
92.62.220.170 19 mars 2014 cars-online.zapto.org
fifa-rules.25u.com
forum.sytes.net
health-everyday.faqserv.com
music-world.servemp3.com
nhl-blog.servegame.com
olympik-blog.4dq.com
supernews.sytes.net
tiger.got-game.org
top-facts.sytes.net
x-files.zapto.org
92.62.219.172 26 avril 2013 eu-society.com
82.146.174.58 28 mai 2014 forum.sytes.net
hockey-news.servehttp.com
leagueoflegends.servequake.com
music-world.servemp3.com
82.146.166.56 11 mars 2014 easport-news.publicvm.com
82.146.166.62 24 juin 2014 hockey-news.servehttp.com
62.243.189.231 4 avril 2014 africankingdom.deaftone.com
aromatravel.org
marketplace.servehttp.com
newutils.3utilities.com
people-health.net
pressforum.serveblog.net
weather-online.hopto.org
77.246.76.19 17 mars 2015 onlineshop.sellclassics.com
62.243.189.187 2 mai 2012 eu-society.com
62.243.189.215 3 janvier 2013 people-health.net
217.20.243.37 3 juillet 2014 forum.sytes.net
music-world.servemp3.com
217.20.242.22 1er septembre 2014 mediahistory.linkpc.net
83.229.75.141 5 août 2015 accessdest.strangled.net
chinafood.chickenkiller.com
coldriver.strangled.net
developarea.mooo.com
downtown.crabdance.com
greateplan.ocry.com
industrywork.mooo.com
radiobutton.mooo.com
securesource.strangled.net
sportnewspaper.strangled.net
supercar.ignorelist.com
supernews.instanthq.com

Remarque: 84.11.79.6 est codé en dur dans le bloc de configuration de l’échantillon malveillant.

Voici les informations ‘WHOIS » des adresses IP de satellite observées:

IP Pays FAI
92.62.220.170
92.62.219.172
92.62.218.99
Nigeria Skylinks Satellite Communications Limited
209.239.79.47
209.239.79.52
209.239.79.152
209.239.79.33
Emirats arabes unis Teleskies, Telesat Network Services Inc
82.146.174.58
82.146.166.56
82.146.166.62
Liban Lunasat Isp
62.243.189.231
62.243.189.187
62.243.189.215
Danemark Emperion
77.246.71.10
77.246.76.19
Liban Intrasky Offshore S.a.l.
84.11.79.6 Allemagne IABG mbH
217.20.243.37 Somalie Sky Power International Ltd
217.20.242.22 Nigeria Sky Power International Ltd
83.229.75.141 Royaume-Uni SkyVision Global Networks Ltd
217.194.150.31 Niger SkyVision Global Networks Ltd
41.190.233.29 Congo Orioncom

Le cas de 84.11.79.6 est intéressant car cette adresse IP appartient à la plage d’adresses IP satellite d’IABG mbH.

Cette adresse IP est chiffrée dans le centre de commande de la backdoor utilisée par le groupe Turla et connue sous le nom de « Agent.DNE« :

md5 0328dedfce54e185ad395ac44aa4223c
size 91136 octets
type Windows PE

Configuration du centre de commande d’Agent.DNE

L’horodatage de la compilation de cet échantillon d’Agent.DNE est le 22 novembre 2007 à 14:34:15. Cela signifie que le groupe Turla utilise des liaisons Internet par satellite depuis près de 8 ans.

Conclusions

L’utilisation régulière de liaisons Internet par satellite est une caractéristique intéressante des opérations du groupe Turla. Ces liaisons sont utilisées en général pendant quelques mois, pas plus. Nous ne savons pas si cela est dû à des restrictions que le groupe s’impose pour garantir la sécurité de ses opérations ou si ces liaisons sont interrompues par des tiers suite à la détection d’un comportement malveillant.

La technique adoptée pour mettre en œuvre ces circuits Internet repose sur le détournement de la bande passante descendante de nombreux F.A.I. et sur la substitution de paquets. Il s’agit d’une méthode simple à mettre en œuvre sur le plan technique et le niveau d’anonymat qu’elle offre est de loin supérieur à celui de méthodes conventionnelles comme la location d’un VPS ou le piratage d’un serveur traditionnel.

L’investissement initial pour cette méthode est inférieur à 1 000 dollars américains. La maintenance quant à elle devrait coûter moins de 1 000 dollars par an. Vu la simplicité et le coût réduit de cette méthode, il est étonnant qu’elle ne soit pas utilisée par un plus grand nombre de groupes APT. Même si cette méthode offre un niveau d’anonymat sans pareil, il est plus simple, pour des questions de logistiques, de recourir à l’hébergement bulletproof, à plusieurs niveaux de proxy ou à des sites piratés. Ceci étant dit, le groupe Turla a utilisé l’ensemble de ces techniques, ce qui en fait une campagne de cyberespionnage très polyvalente, dynamique et flexible.

Pour conclure, signalons que Turla n’est pas le seul groupe APT à avoir utilisé des liaisons Internet par satellite. Ainsi, des centres de commande de groupe APT comme HackingTeam, Xumuxu et plus récemment, Rocket Kitten, ont été observés sur des adresses IP satellite.

Si cette méthode se généralise parmi les groupes APT ou, pire encore chez les cybercriminels, le monde de la sécurité de l’information et du contre-espionnage sera confronté à un défi de taille.

* Les clients de Kaspersky Intelligence Services peut lire le rapport complet sur l’utilisation des liaisons Internet par satellite par le groupe Turla.

Indicateurs de compromission:

Adresses IP:

84.11.79.6
41.190.233.29
62.243.189.187
62.243.189.215
62.243.189.231
77.246.71.10
77.246.76.19
77.73.187.223
82.146.166.56
82.146.166.62
82.146.174.58
83.229.75.141
92.62.218.99
92.62.219.172
92.62.220.170
92.62.221.30
92.62.221.38
209.239.79.121
209.239.79.125
209.239.79.15
209.239.79.152
209.239.79.33
209.239.79.35
209.239.79.47
209.239.79.52
209.239.79.55
209.239.79.69
209.239.82.7
209.239.85.240
209.239.89.100
217.194.150.31
217.20.242.22
217.20.243.37

Noms d’hôte:

accessdest.strangled[.]net
bookstore.strangled[.]net
bug.ignorelist[.]com
cars-online.zapto[.]org
chinafood.chickenkiller[.]com
coldriver.strangled[.]net
developarea.mooo[.]com
downtown.crabdance[.]com
easport-news.publicvm[.]com
eurovision.chickenkiller[.]com
fifa-rules.25u[.]com
forum.sytes[.]net
goldenroade.strangled[.]net
greateplan.ocry[.]com
health-everyday.faqserv[.]com
highhills.ignorelist[.]com
hockey-news.servehttp[.]com
industrywork.mooo[.]com
leagueoflegends.servequake[.]com
marketplace.servehttp[.]com
mediahistory.linkpc[.]net
music-world.servemp3[.]com
new-book.linkpc[.]net
newgame.2waky[.]com
newutils.3utilities[.]com
nhl-blog.servegame[.]com
nightstreet.toh[.]info
olympik-blog.4dq[.]com
onlineshop.sellclassics[.]com
pressforum.serveblog[.]net
radiobutton.mooo[.]com
sealand.publicvm[.]com
securesource.strangled[.]net
softstream.strangled[.]net
sportacademy.my03[.]com
sportnewspaper.strangled[.]net
supercar.ignorelist[.]com
supernews.instanthq[.]com
supernews.sytes[.]net
telesport.mooo[.]com
tiger.got-game[.]org
top-facts.sytes[.]net
track.strangled[.]net
wargame.ignorelist[.]com
weather-online.hopto[.]org
wintersport.mrbasic[.]com
x-files.zapto[.]org

MD5:

0328dedfce54e185ad395ac44aa4223c
18da7eea4e8a862a19c8c4f10d7341c0
2a7670aa9d1cc64e61fd50f9f64296f9
49d6cf436aa7bc5314aa4e78608872d8
a44ee30f9f14e156ac0c2137af595cf7
b0a1301bc25cfbe66afe596272f56475
bcfee2fb5dbc111bfa892ff9e19e45c1
d6211fec96c60114d41ec83874a1b31d
e29a3cc864d943f0e3ede404a32f4189
f5916f8f004ffb85e93b4d205576a247
594cb9523e32a5bbf4eb1c491f06d4f9
d5bd7211332d31dcead4bfb07b288473

Kaspersky Lab products detect the above Turla samples with the following verdicts:

Backdoor.Win32.Turla.cd
Backdoor.Win32.Turla.ce
Backdoor.Win32.Turla.cl
Backdoor.Win32.Turla.ch
Backdoor.Win32.Turla.cj
Backdoor.Win32.Turla.ck
Trojan.Win32.Agent.dne

Références:

  1. Agent.btz: a Source of Inspiration?
  2. The Epic Turla operation
  3. The ‘Penquin’ Turla

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *