ロシアのハッキンググループ、トゥルラが商用衛星をハイジャックして米国と欧州をスパイ
10 年以上活動しているロシア語を話す攻撃者グループが商用衛星を使用して、米国と欧州の外交機関や軍事機関からの機密データを利用しています。サイバーセキュリティ会社が発表した報告書によると、Turlaとして知られるハッカーたちは、位置情報を隠すための戦術として衛星ベースのインターネットリンクもハイジャックしているという。カスペルスキー水曜日にモスクワで。
トゥルラの活動は昨年暴露された。ロシア語を話すこのギャングは、45カ国で500人以上の被害者に対してスパイ活動を行ってきた。使用する悪意のあるソフトウェアにちなんで名付けられた Turla は、米国、カザフスタン、ロシア、ベトナム、中国の政府機関、大使館、軍、製薬、研究機関を 8 年間にわたって標的にし、例外的な方法で政治的および戦略的情報を入手したことで最もよく知られています。とカスペルスキーの上級セキュリティ研究員ステファン・タナセ氏は語る。
トゥルラは、今年初めに国務省、ホワイトハウス、国防総省に対するハッキングの背後にいると考えられる別のロシアのハッカーグループと比較される人もいる。国防総省への攻撃には統合参謀本部に勤務する軍人および民間人4,000人が含まれており、ネットワークは7月に2週間閉鎖されなければならなかった。
ステファン・タナセ氏は衛星ハッカーについてワシントン・ポスト紙に次のように語った。これは私たちがそれを行ったと思われる最初のグループです。これにより、はるかに高いレベルの匿名性を実現できます。」
カリフォルニア州アーバインに本拠を置くサイバーセキュリティ技術会社クラウドストライクの共同創設者兼最高技術責任者であるドミトリ・アルペロビッチ氏は、Turlaマルウェアは「我々がVenomous Bearと呼んでいる」「高度なロシア政府系」ハッカー集団によって作成されたと述べた。フィンランドによると、同国の外務省のコンピュータシステムは昨年トゥルラ攻撃を受けたが、それに関する詳細な情報は提供されていなかった。
カスペルスキーの研究者らはレポートの中で、ハイジャックされたダウンストリーム専用リンクの使用は、マルウェアを移動させ、侵害されたマシンと通信するための低コスト(維持費に年間1000ドル)で非常に簡単な手段であると書いている。リンクはエンコードされておらず、悪用のために完全に開発されていないため、これらの接続は低速ではありますが、ハッカーの兆候となります。
Turla は、頻繁にアクセスして機密データを取得する Web サイトに悪意のあるソフトウェアを仕掛けることで被害者をターゲットにします。 Turla は、ターゲットがサイトを開くとすぐにユーザーのコンピュータを制御できるようになります。ハッカーは感染したコンピュータに、衛星会社が提供するインターネット サービスをオンラインで使用している無実の衛星ユーザーのインターネット アドレスに盗んだデータを送信するよう指示します。
その後、Turla はユーザーのインターネット アドレスを偽装することで、衛星から被害者のコンピュータに送信されるデータ ストリームの制御を掌握します。データは、数千マイルに及ぶ衛星ビームの範囲内のどこにでも存在する可能性があるため、データの位置を隠すことにより、Turla が制御するコマンド サーバーに送信されます。
研究者や法執行機関の監視を避けるために、中東やアフリカ諸国では衛星インターネット接続を使用することがほとんどです。
「(この技術により)誰かがコマンドサーバーをシャットダウンしたり、コマンドサーバーを参照したりすることは基本的に不可能になります」とタナセ氏は述べた。 「サーバーを隠すために使用するプロキシのレベルがいくつであっても、十分な粘り強さを持った調査員は最終的な IP アドレスに到達できます。発見されるのも時間の問題だ。しかし、この衛星リンクを使用すれば、発見されることはほぼ不可能です。」
