间谍新高度：间谍组织​Turla利用卫星通信隐藏C&C服务器

浮尘

Turla APT组织，也被称为Snake或者Uroboros，是至今为止最为高级的威胁组织之一。该网络间谍组织已经存在长达8年的时间了，却很少被人知道。

卡巴斯基实验室也是去年才发现Turla APT组织，该组织成员均说俄语，并且还发现其利用卫星通信中固有的安全缺陷来隐藏自己的位置和实施间谍活动。

FreeBuf百科：卫星通信

卫星通信主要应用在一些网络不稳定、网速过慢或者没有网络的偏远地区。其中最普遍、最便宜的卫星网络是通过所谓的仅下游（downstream-only）连接的。用户PC端的请求会通过常规线路（有线或者GPRS连接）进行通信，且所有流入的流量均来自卫星。

如此一来，用户就可获得一个相对较快的下载速度。从安全角度来看，卫星通信的最大缺点就是返回PC端的流量是非加密的，导致任何用户均可劫持这些流量。

Turla组织利用卫星通信中固有的安全缺陷隐藏C&C服务器的位置和控制中心。我们都知道，一旦C&C服务器的位置暴露，幕后恶意操作的黑手就会很容易被发现，所以Turla组织才会努力地去隐藏C&C服务器位置。
卫星链接（DVB-S）劫持

在劫持卫星DVB-S链接之前，需要具备以下设备：

1.卫星天线（大小取决于地理位置和卫星）
2.低噪声块下变频器（LNB）
3.专用的DVB-S调制器（PCIe卡，建议使用TBS Technologies公司的TBS-6922SE）
4.电脑（最好是Linux系统的）

DVB-S调制器

执行卫星网络劫持工作

为了攻击卫星网络链接，无论是卫星链接的合法用户还是攻击者自身的卫星天线都要指向特定的用于广播流量的卫星。攻击者会滥用卫星网络流量明文传输这一缺陷，具体的方式如下：

1. 通过监听卫星中的downstream来识别卫星网络用户的IP地址；
2. 然后在用户不知情的情况下选择一个IP地址来掩盖其C&C服务器真实IP地址；
3. 被Turla感染的设备会收到一个指令：发送所有数据到被选中的IP地址上。数据先通过常规路径发送到卫星系统，然后再由卫星系统发送给选中IP地址的用户；
4. 合法用户会以垃圾的方式将这些数据丢掉，但威胁操作者会从下游卫星链接处重新收集起这些数据。
攻击范围极广，中国也在之列

因为卫星通信的覆盖范围非常广，所以很难追踪到威胁操作者的具体位置。被Turla组织利用的卫星网络大多是位于中东和非洲的国家，如刚果、黎巴嫩、利比亚、尼泊尔、索马里和阿拉伯联合酋长国。

目前为止，Turla APT组织已经成功入侵了全球45个国家近百个电脑系统。Turla攻击的国家包括哈萨克斯坦、俄罗斯、中国、越南、美国等，入侵的行业有政府机构、大使馆、军事、教育、科研、制药公司等。

被入侵的相关指标

IP：

84.11.79.6
41.190.233.29
62.243.189.187
62.243.189.215
62.243.189.231
77.246.71.10
77.246.76.19
77.73.187.223
82.146.166.56
82.146.166.62
82.146.174.58
83.229.75.141
92.62.218.99
92.62.219.172
92.62.220.170
92.62.221.30
92.62.221.38
209.239.79.121
209.239.79.125
209.239.79.15
209.239.79.152
209.239.79.33
209.239.79.35
209.239.79.47
209.239.79.52
209.239.79.55
209.239.79.69
209.239.82.7
209.239.85.240
209.239.89.100
217.194.150.31
217.20.242.22
217.20.243.37
主机名：

accessdest.strangled[.]net
bookstore.strangled[.]net
bug.ignorelist[.]com
cars-online.zapto[.]org
chinafood.chickenkiller[.]com
coldriver.strangled[.]net
developarea.mooo[.]com
downtown.crabdance[.]com
easport-news.publicvm[.]com
eurovision.chickenkiller[.]com
fifa-rules.25u[.]com
forum.sytes[.]net
goldenroade.strangled[.]net
greateplan.ocry[.]com
health-everyday.faqserv[.]com
highhills.ignorelist[.]com
hockey-news.servehttp[.]com
industrywork.mooo[.]com
leagueoflegends.servequake[.]com
marketplace.servehttp[.]com
mediahistory.linkpc[.]net
music-world.servemp3[.]com
new-book.linkpc[.]net
newgame.2waky[.]com
newutils.3utilities[.]com
nhl-blog.servegame[.]com
nightstreet.toh[.]info
olympik-blog.4dq[.]com
onlineshop.sellclassics[.]com
pressforum.serveblog[.]net
radiobutton.mooo[.]com
sealand.publicvm[.]com
securesource.strangled[.]net
softstream.strangled[.]net
sportacademy.my03[.]com
sportnewspaper.strangled[.]net
supercar.ignorelist[.]com
supernews.instanthq[.]com
supernews.sytes[.]net
telesport.mooo[.]com
tiger.got-game[.]org
top-facts.sytes[.]net
track.strangled[.]net
wargame.ignorelist[.]com
weather-online.hopto[.]org
wintersport.mrbasic[.]com
x-files.zapto[.]org
MD5s：

0328dedfce54e185ad395ac44aa4223c
18da7eea4e8a862a19c8c4f10d7341c0
2a7670aa9d1cc64e61fd50f9f64296f9
49d6cf436aa7bc5314aa4e78608872d8
a44ee30f9f14e156ac0c2137af595cf7
b0a1301bc25cfbe66afe596272f56475
bcfee2fb5dbc111bfa892ff9e19e45c1
d6211fec96c60114d41ec83874a1b31d
e29a3cc864d943f0e3ede404a32f4189
f5916f8f004ffb85e93b4d205576a247
594cb9523e32a5bbf4eb1c491f06d4f9
d5bd7211332d31dcead4bfb07b288473

Micah

感谢楼主的分享~

H.U.C—Prince

支持，看起来不错呢！

wanmznh

学习学习技术，加油！

cl476874045

支持中国红客联盟(ihonker.org)

HUC-参谋长

08-wh

感谢楼主的分享~

a136

支持中国红客联盟(ihonker.org)

asion

学习学习技术，加油！

borall