Koriste komercijalne satelite

Nova generacija: Satelitski hakeri i tajne njihovog zanata

Vladimir Mrvoš

Sve je počelo 2007. godine kada je nekoliko elitnih hakerskih grupa koristilo satelitske veze kako bi došli do povjerljivih podataka, a kulminiralo objavom kako to oni rade



Iako je danas prijem tv programa, pa i interneta putem satelita nešto što smatramo standardnim oblikom komunikacije, malo se zna da osim zabavnih, komunikacijskih, navigacijskih, meteroloških i vojnih satelitskih usluga, postoje i brojni poslovni satelitski internet servisi. Servisi prepuni važnih poslovnih informacija, koji su vrijedni i ponekad presudni na tržištu informacija, oduvijek su bili želja konkurencije.


Nedavno se pojavila informacija da grupa vrhunskih hakera koristi komercijalne satelite za pronalaženje povjerljivih podataka poslovnih, ali i diplomatskih i vojnih agencija. Ova grupa neslužbeno se naziva Turla, što je ime programa koji koristi. Informaciju o tome prvi je je objavio Kaspersky Lab, jedna od vodećih svjetskih kompanija koja se bavi softverskom zaštitom. Stručnjak ove kompanije objasnio je kako u praksi funkcionira način skidanja podataka sa satelita od strane hakera i na koji način oni to rade.


Elitne hakerske grupe


Sve je počelo 2007. godine kada je nekoliko elitnih hakerskih grupa koristilo satelitske veze kako bi došli do povjerljivih podataka najčešće koristeći infrastrukturu za komunikaciju i kontrolu (C&C). Turla je tada bila samo jedna od njih. Ovaj pristup satelitske veze nudi neke prednosti, jer otežava identifikaciju operatora i ne otkriva tko stoji iza napada, ali također nosi i neke rizike za napadače. S strane hakera, najvažnije jer se prave lokacije hardvera odnosno C&C servera ne mogu jednostavno odrediti. Satelitski internet prijemnici mogu se locirati u okviru područja pokrivenosti satelita, a to su uglavnom vrlo velika područja. Metoda koju je grupa Turla koristila za priključivanje na downstream linkova nije zahtijevala potrebnu pretplatu na satelitski internet.




S druge strane, nedostatak mogućnosti otkrivanja presretača sadržan je u činjenici da je satelitski internet spor i vrlo nestabilan. U početku bilo je nejasno da li su određeni linkovi odnosno komercijalne internet veze preko satelita, kupljene od strane napadača, ili su napadači otkrili kod intemet providera (ISP), odnosno izveli tzv. Marein-the-Middle (MitM) napade na nivou rutera kako bi se priključili na link. Analizom se došlo se zaključka da je Turla grupa koristila neočekivano jednostavnu i jeftinu metodu za operacije i upravljanje, koja uopće nije sofisticirana, već je koristila neznanje i neopreznost korisnika.


Kupnja satelitskih linkova


Sama kupnja satelitskih internet linkova jedna je od opcija koju hakerske grupe mogu izabrati kako bi osigurale svoj C&C promet. Međutim, ti satelitski linkovi mogu biti prilično skupi, ako je riječ o samo o zabavi. Tako jednostavan duplex satelitski link od 1 Mbita može koštati i do 7000 dolara i to tjedno. Istina za dugoročne ugovore ova cijena se može značajno smanjiti, ali i dalje ostaje vrlo skup, kada je riječ samo o zabavi. Još jedan način za ubacivanje C&C servera u IP opseg satelita je kontrola prometa izmedu žrtve i satelitskog operatora te ubacivanje u paket podataka.



Danas je teško znati koliko je uopće ispravnih satelita u zemljinoj orbiti, jer mnogi se okreću oko zemlje, ali više nisu u funkciji.Sateliti u geostacionarnoj orbiti (GEO) na visini 35.780 km iznad ekvatora i s vremenom ophoda 24 sata rotiraju istom brzinom kao i Zemlja pa se, gledajući sa Zemlje, nalaze uvijek na istome mjestu. Jedan satelit može pokriti više pd 1/3 površine Zemlje, te se trima satelitima može pokriti gotovo cijela zemaljska kugla. Sateliti u niskoj orbiti (LEO) na visinama do 1500 km i s vremenom ophoda do nekoliko sati pokrivaju samo mali dio Zemljine površine. Kako bi se osiguralo da na bilo kojem dijelu Zemlje u svakom trenutku postoji barem jedan vidljivi satelit, potrebno je 50-ak takvih satelita za pokrivanje cijele Zemlje


To pak zahtjeva ili korištenje samog satelitskog providera ili nekog zemaljskog providera. IP adrese otkrivene kao izvor incidenata mogu, ali i često jesu, lažirane. Tako veliki i očigledni napadi imaju male šanse preživjeti na duži vremenski rok, što je jedan od ključnih uslova za vođenje takve operacije. Stoga nije baš učinkovito vršiti napad preko već spomenutog MitM prometa, osim ako napadači imaju direktnu kontrolu nad nekim visoko prometnim mrežnim točkama. Ima naznaka da takvi napadi postaju češći, ali postoje i mnogo jednostavniji načini za priključivanje na tuđi satelitski intemet promet.


Potrebna oprema


Za kontrolu satelitskih (DVB-S) linkova potrebna je jednostavna oprema. U nju spadaju satelitska antena čiju veličinu određuje položaj zemljopisne pozicije i satelita, LNB (konvertor), DVB-S tuner (PCI kartica) i računalo sa instaliranim Linuxom. Dok su antena i LNB manje-više standardni, satelitska kartica je najvažnija komponenta cijele operacije. Trenutno po mišljenu stručnjaka najbolje satelitske kartice proizvodi kompanija TBS Technologies, a TBS-6922SE je možda najbolja kartica nižeg razreda za ove poslove. TBS kartica je posebno dobro prilagođena ovom poslu, jer ima Linux drivere i podržava funkciju koja omogućava pretragu široko-frekvencijskih opsega za interesantnim signalima. Naravno, i druge PCI kartice rade kako treba, dok hakeri izbjegavaju CISB kartice, jer su relativno slabe. Za razliku od duplex satelitskog intemeta, downstream internet linkovi koriste se za ubrzavanje brzine preuzirnanja i vrlo su jeftini i jednostavni za primjenu veze koje su takođe nestabilne i ne koriste nikakvu zaštitu.


Nekodirani paketi


Kompanije koje pružaju samo downstream intenet pristup koriste teleport točke kako bi uputile promet na satelit ka većim područjima na terenu, u Ku-bandu (12-18 GHz) rutiranjem odredenih IP klasa kroz teleport točke. Za napad na satelitska internet spajanja, satelitske antene legitimnih korisnika ovih linkova, kao i napadača, uperene su u određene satelite koji obavljaju promet. Napadači uglavnom zloupotrebljavaju to što paketi nisu kodirani. Nakon otkrivanja IP adrese koja se usmjerava kroz downstream link satelita, napadači traže pakete koji dolaze sa interneta na ovu specifičnu IP adresu. Kada je paket otkriven, napadači kontaktiraju izvor i šalju lažni paket kao odgovor izvoru koristeći standardnu internet vezu. U isto vrijeme, legitimni korisnici veze samo ignoriraju paket, pošto odlazi na neotvoren port. Ovdje je važno naglasiti da normalno, ako paket pogodi zatvoreni port, šalje se nazad do izvora ukazujući na to da ne postoji ništa što očekuje taj paket. Međutim, za spore veze, preporučuje se korištenje firewalla za jednostavno ostavljanje paketa na zatvorenim portovima. To stvara priliku za zloupotrebu. Tokom analiza, primijećeno je da Turla napadači zloupotrebljavaju nekoliko providera satelitskog interneta, od kojih većina nudi samo downstream uslugu na Bliskom istoku i u Africi.


Ozbiljan problem


Zanimljivo je da pokrivenost ovih snopova ne uključuje Europu ili Aziju, što znači da je potrebna antena koja se nalazi na Bliskom istoku, odnosno Africi. Alternativno, mnogo veća antena od preko 3 metra može se koristiti u drugim područjima kako bi se pojačao signal. Za izračunavanje potrebne veličine antene na nekoj lokaciji mogu se koristiti razne metode, uključujući i online servise. Redovna upotreba satelitske internet veze od strane grupe Turla predstavlja interesantan način rada. Veze su uglavnom otvorene na nekoliko mjeseci, ali nikada predugo. Tehnički metoda kojom se koristi bazira se na skeniranju downstream protoka putem lažiranja paketa. Ovo je metoda koju je tehnički lako izvesti, i daje mnogo veći stupanj anonimnosti nego bilo koji drugi standardni način, kao što je hakiranje legitimnog korisnika. Imajući u vidu kako je ova metoda jednostavna i jeftina, iznenađujuće je što više ne koristi. Ako ova metoda postane popularnija medu satelitskim hakerskirn grupama, to će postati ozbiljan problem za ICT sigurnost..