Grupo russo de hackers “sequestram” satélite para roubar informações de governos

 O grupo russo Turla, há muitos anos rouba informações sigilosas de governos ao redor do mundo. Porém o que diferencia este de outros casos é a maneira que eles fazem isto. Para se proteger, durante um ataque como este, é comum o uso de ferramentas como VPS e VPN. Porém, estes hackers escolheram uma forma um pouco inusitada.
      De acordo com pesquisa divulgada pela Kaspersky (Moscou, na Rússia) os criminosos cobrem seus vestígios “sequestrando” links de internet de satélites.
      Os responsáveis por enviar malwares a países da Europa e também aos EUA protegem seu anonimato através de canais lentos e unidirecionais – links gerados por satélites antigos (usados pelo Turla) permitem apenas o download de dados.
      O que conquista a preferência desses canais por parte dos hackers é o fato de que as vias de comunicação dos “servidores espaciais” não são criptografadas. Além disso, a interceptação do sinal pode ser feita dentro de um raio de quase 1.000 km, o que dificulta a localização física da gangue.
Como é feito:
     Segundo explica Stefan Tanase, pesquisador sênior da Kaspersky, são quatro os componentes necessários para que os links DVB-S de satélites sejam sequestrados: um “prato de satélite” (cujo tamanho depende da localização geográfica dos agentes), um LNB (conversor de baixo ruído usado para recepção de sinais de satélites), um sintonizador DVB-S dedicado (cartão PCIe) e, naturalmente, um PC (preferencialmente com Linux).
Antena-de-satelite
Também conforme observa Tanase, cartões PCIe do tipo TBS são os mais adequados à interceptação dos sinais de satélites (esses componentes possuem drivers kernel do Linux e suportam a função conhecida como “brute-force scan”, que permite testes de frequências para seleção do canal que será usado).
cartões-PCIe-do-tipo-TBS
Para sequestrar os links, o Turla analisa pacotes específicos de conexão a partir de um endereço de IP. No momento em que certo canal é identificado, uma reposta falsa é então enviada ao servidor por meio de uma linha convencional de internet. O usuário legítimo passa a ignorar o pacote malicioso; firewalls de satélites geralmente derrubam canais que atingem “portas fechadas”, o que permite o sequestro das conexões.
“Esse é provavelmente um dos métodos mais eficazes de garantia de segurança operacional”, diz Tanase. “Ninguém nunca vai saber a localização física do seu servidor de controle. Não consigo pensar em uma maneira para identificar o ‘local exato da base de comando dos hackers’. Eles podem estar em qualquer lugar dentro do raio dos satélites [sequestrados]”, finaliza o especialista em segurança.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Divulgue em suas redes sociais