俄罗斯黑客组织通过卫星隐藏命令和控制服务器

卡巴斯基实验室声称，在过去的8年中，Turla APT黑客组织设法躲过执法机关和网络安全公司的检测，方法是通过使用卫星网络连接来隐藏命令和控制服务器。

Turla黑客间谍组织自2007年就已存在，成员疑似来自讲俄语的国家，去年卡巴斯基安全研究员终于找到了他们运作方式的蛛丝马迹。安全研究员Stefan Tanase表示，攻击者利用老旧通信卫星设计中存在的漏洞能够拦截网络流量并借此隐藏命令和控制服务器的位置。

卫星通信简介

多年以来，卫星一直用于在全球范围内中继通信，它比使用传统的水下电缆要快得多。它们可用来中继电视、无线电、移动数据以及互联网流量。

多数围绕地球运行的卫星都存在了几十年之久，而且不支持加密连接（这种需求近年来才变得有必要）。卫星中存在的这种特殊漏洞目前被Turla黑客组织盯上，他们利用简单的卫星天线自由拦截从卫星到某个用户的流量。

攻击者拦截未经加密的卫星通信

要拦截流量非常简单，原因是围绕地球运转的许多脆弱的卫星会向目标地理区域发送未加密流量。黑客会购买卫星天线来拦截这一流量，在被脆弱卫星覆盖的地区租房，并以此获取经典的有线网络连接。

当卫星中出现流量时，黑客会嗅探其内容并寻找在线用户，且随机选出一个IP，随后利用有线网络将IP传播给受感染的客户端，而客户端会通过卫星连接 将被盗数据发送给对此毫不知情的卫星互联网订阅户的IP。由于通过卫星连接从受感染用户发送的数据会到达定制端口，而这些端口通常会向目标IP关闭。卫星 网络连接被拦截的用户永远不会知情，因为他们的电脑会自动舍弃到达被关闭端口的所有网络数据包。

百分之百不会被检测到的命令和控制服务器

同时，黑客拥有从客户端发送来的数据，而得到它们都无需暴露真实IP。由于卫星能够覆盖某个地区的大量区域，黑客还能轻易隐藏地理位置，让流量被劫持的用户与自己远隔数千里。这种方式能让黑客保持100%的匿名性，而这是Tor或代理服务器永远无法做到的。

非洲成隐藏命令和控制服务器的热门地

卡巴斯基指出，分析该黑客组织非常棘手，因为他们针对的卫星仅仅覆盖非洲和中东地区。因此研究人员在获取分析数据时困难重重。此外，这些地区的卫星常常很老旧，导致筛选范围大于使用现代卫星的欧洲和北美地区。