{"id":6131,"date":"2015-09-09T08:08:31","date_gmt":"2015-09-09T08:08:31","guid":{"rendered":"https:\/\/kasperskydaily.com\/germany\/?p=6131"},"modified":"2020-02-26T18:40:45","modified_gmt":"2020-02-26T16:40:45","slug":"turla-apt-exploiting-satellites","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/turla-apt-exploiting-satellites\/6131\/","title":{"rendered":"Russischsprachige Cyber-Spione missbrauchen Satelliten"},"content":{"rendered":"<p>Die Turla-APT-Gruppe, auch unter den Namen Snake und Uroboros bekannt, ist einer der best entwickelten digitalen Angreifer weltweit. Diese Cyber-Spione sind schon \u00fcber acht Jahre aktiv, doch bis zum vergangenen Jahr wussten wir nur wenig \u00fcber ihre Aktivit\u00e4ten \u2013 dann ver\u00f6ffentlichten wir unsere <a href=\"https:\/\/securelist.com\/analysis\/publications\/65545\/the-epic-turla-operation\/\" target=\"_blank\" rel=\"noopener\">Foschungsarbeit zu Epic Turla<\/a>.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2015\/09\/06133807\/sat_FB.png\" alt=\"\" width=\"840\" height=\"840\"><\/p>\n<p>Diese Arbeit enthielt Beispiele von Sprachartefakten, die zeigen, dass zumindest Teile der Turla-Gruppe Russisch sprechen. Diese Gruppenmitglieder verwenden codepage 1251, das \u00fcblicherweise genutzt wird, um kyrillische Buchstaben anzuzeigen, sowie W\u00f6rter wie\u201cZagruzchik\u201c, dem russischen Ausdruck f\u00fcr \u201eBoot Loader\u201c.<\/p>\n<p>Was die Turla-Gruppe so besonders gef\u00e4hrlich und schwer zu fassen macht, ist nicht nur die Komplexit\u00e4t der von ihr genutzten Tools, sonderen der besondere Satelliten-basierte Command-and-Control-Mechanismus (C&amp;C), der in der Endphase eines Angriffs implementiert wird.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/Securelist?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@Securelist<\/a> shares new research on the initial stages of the cyber-espionage campaign Turla AKA Snake or Uroburos. <a href=\"http:\/\/t.co\/KvHD7nOEfa\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/KvHD7nOEfa<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/497407080354299904?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">August 7, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Die C&amp;C-Server sind die Basis f\u00fcr eine hochentwickelte Cyber-Attacke. Gleichzeitig sind sie aber auch das schw\u00e4chste Glied in der sch\u00e4dlichen Infrastruktur, da sie laufend von digitalen Detektiven und Strafverfolgungsbeh\u00f6rden gesucht, gefunden und ausgehebelt werden.<\/p>\n<p>Daf\u00fcr gibt es zwei gute Gr\u00fcnde: Zum einen werden diese Server genutzt, um die sch\u00e4dlichen Aktionen zu kontrollieren. Wenn man diese Server abschalten kann, st\u00f6rt oder beendet man sogar alle Aktivit\u00e4ten der Cyberkriminellen. Zum anderen k\u00f6nnen die C&amp;C-Server verwendet werden, die T\u00e4ter aufzusp\u00fcren und zu verhaften.<\/p>\n<p>Deshalb versuchen Cyberkriminelle, ihre C&amp;C-Server so gut wie m\u00f6glich zu verstecken. Die Turla-Gruppe hat daf\u00fcr nun einen effektiven Weg gefunden: Sie verbergen die IP-Adressen der Server im Himmel.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Epic Turla:massive <a href=\"https:\/\/twitter.com\/hashtag\/cyberespionage?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#cyberespionage<\/a> operation penetrates EU\/Mideast spy agencies via <a href=\"https:\/\/twitter.com\/kaspersky?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@kaspersky<\/a> <a href=\"http:\/\/t.co\/vmWvteVmq1\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/vmWvteVmq1<\/a> <a href=\"http:\/\/t.co\/1wuNL7SoFn\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/1wuNL7SoFn<\/a><\/p>\n<p>\u2014 Adolfo Hern\u00e1ndez (@Adolfo_Hdez) <a href=\"https:\/\/twitter.com\/Adolfo_Hdez\/status\/497634453666406400?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">August 8, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Eine der am weitesten verbreiteten und g\u00fcnstigsten satellitenbasierten Internetverbindungen ist eine reine Downstream-Verbindung. In diesem Fall wird der vom Nutzer ausgehende Datenverkehr (Upstream) \u00fcber konventionelle Wege gesendet (Kabel oder drahtlos), w\u00e4hrend der eingehende Datenverkehr (Downstream) vom Satelliten kommt.<\/p>\n<p>Allerdings hat diese Technologie eine Eigenheit: Der gesamte eingehende Datenverkehr kommt unverschl\u00fcsselt vom Satelliten zum PC. Damit kann jeder den Datenverkehr abh\u00f6ren. Die Turla-Gruppe nutzt diese L\u00fccke auf neue und recht interessante Art: Sie verstecken damit ihren C&amp;C-Verkehr.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Cyber-Spione #Turla missbrauchen Satelliten<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2F1vUo&amp;text=Cyber-Spione+%23Turla+missbrauchen+Satelliten\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>So gehen die Cyberkriminellen dabei vor:<\/p>\n<ol>\n<li>Sie h\u00f6ren den Downstream des Satelliten ab, um aktive IP-Adressen von Satelliten-basierten Internet-Nutzern zu identifizieren, die gerade online sind.<\/li>\n<\/ol>\n<ol start=\"2\">\n<li>Dann w\u00e4hlen sie ohne Wissen der Nutzer eine Reihe aktiver IP-Adressen aus, die f\u00fcr die Maskierung eines C&amp;C-Servers verwendet werden.<\/li>\n<\/ol>\n<ol start=\"3\">\n<li>Die von Turla infizierten Computer bekommen die Anweisung, all ihre Daten zu den ausgew\u00e4hlten IP-Adressen zu senden. Die Daten kommen \u00fcber konventionelle Wege zum Satelliten und schlie\u00dflich vom Satelliten zu den ausgew\u00e4hlten IP-Adressen.<\/li>\n<\/ol>\n<ol start=\"4\">\n<li>Diese Daten werden von den PCs der Anwender als M\u00fcll fallen gelassen, w\u00e4hrend die Cyberkriminellen aber den Downstream der Satelliten-Verbindung abh\u00f6ren k\u00f6nnen und so ihre Daten bekommen.<\/li>\n<\/ol>\n<p>Da solche Satelliten-Downstreams ein gro\u00dfes Gebiet abdecken, ist es unm\u00f6glich, herauszubekommen, wo genau die T\u00e4ter sitzen. Und dieses Katz-und-Maus-Spiel wird noch schwieriger, da die Turla-Gruppe dazu tendiert, Internet-Anbieter aus dem Nahen Osten und aus afrikanischen L\u00e4ndern wie Kongo, Libanon, Libya, Niger, Nigeria, Somalia und die Vereinten Arabischen Emirate auszunuten.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2015\/09\/06133806\/turla_map_of_satellites_.png\" alt=\"\" width=\"1088\" height=\"894\"><\/p>\n<p>Die Satellitenstrahlen, die von den Netzbetreibern in diesen L\u00e4ndern genutzt werden, decken Europa und Nordamerika normalerweise nicht ab, so dass es f\u00fcr die meisten Sicherheitsforscher sehr schwer wird, die Angriffe zu untersuchen.<\/p>\n<p>Die Hinterm\u00e4nner von Turla haben Hunderte von Computern in \u00fcber 45 L\u00e4ndern infiziert, inklusive Kasachstan, Russland, China, Vietnam und den USA. Die Turla-Gruppe interessiert sich bei ihren Spionage-Aktionen vor allem f\u00fcr Regierungseinrichtungen, Botschaften, Milt\u00e4reinrichtungen, Schulungsorganisationen sowie Forschungs- und pharamzeutische Firmen.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2015\/09\/06133805\/Turla_Map_of_Targets1-1.png\" alt=\"\" width=\"1468\" height=\"920\"><\/p>\n<p>\u00a0<\/p>\n<p>Das war die schlechte Nachricht. Die gute Nachricht ist, dass die Nutzer der <a href=\"https:\/\/www.kaspersky.com\/de\/advert\/multi-device-security?redef=1&amp;THRU&amp;reseller=de_KD-2015_pro_ona_smm__all_b2c__lnk____kismd_2015__\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky-L\u00f6sungen<\/a> vor der Schad-Software und den Turla-Angriffen gesch\u00fctzt sind.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Kaspersky-Forscher haben entdeckt, dass die russischsprachige Turla-APT-Gruppe Satelliten missbraucht, um ihre Operationen sowie ihre Command-and-Control-Server zu verbergen.<\/p>\n","protected":false},"author":421,"featured_media":6132,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,6],"tags":[522,274,1641,1643,1246,1642,209,1640],"class_list":{"0":"post-6131","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-apt","10":"tag-bedrohungen","11":"tag-cyber-spionage","12":"tag-epic","13":"tag-forschung","14":"tag-satelliten","15":"tag-schadprogramme","16":"tag-turla"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/turla-apt-exploiting-satellites\/6131\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/turla-apt-exploiting-satellites\/5062\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/turla-apt-exploiting-satellites\/3526\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/turla-apt-exploiting-satellites\/5945\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/turla-apt-exploiting-satellites\/6210\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/turla-apt-exploiting-satellites\/6171\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/turla-apt-exploiting-satellites\/6581\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/turla-apt-exploiting-satellites\/8822\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/turla-apt-exploiting-satellites\/9771\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/turla-apt-exploiting-satellites\/5662\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/turla-apt-exploiting-satellites\/8845\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/turla-apt-exploiting-satellites\/8822\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/turla-apt-exploiting-satellites\/9771\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/turla-apt-exploiting-satellites\/9771\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/6131","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/421"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=6131"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/6131\/revisions"}],"predecessor-version":[{"id":22989,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/6131\/revisions\/22989"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/6132"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=6131"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=6131"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=6131"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}