Negara Bagian Rusia Hacker Group yang dikenal sebagai Turla telah melakukan beberapa prestasi peretasan paling inovatif dalam sejarah cyberespionage, Menyembunyikan komunikasi malware mereka di koneksi satelit atau membajak operasi peretas lain untuk menyelubungi ekstraksi data mereka sendiri. Namun, ketika mereka beroperasi di wilayah rumah mereka, ternyata mereka telah mencoba pendekatan yang sama luar biasa, jika lebih mudah, mereka tampaknya telah menggunakan kendali mereka atas penyedia layanan internet Rusia untuk secara langsung menanam spyware di komputer target mereka di Moskow.
Tim peneliti Microsoft Security yang berfokus pada ancaman peretasan hari ini yang diterbitkan a laporan Merinci teknik mata -mata baru yang berbahaya yang digunakan oleh Turla, yang diyakini sebagai bagian dari Badan Intelijen FSB Kremlin. Kelompok ini, yang juga dikenal sebagai Snake, Venomous Bear, atau nama Microsoft sendiri, Secret Blizzard, tampaknya telah menggunakan akses yang disetujui negara ke ISP Rusia untuk ikut campur dengan lalu lintas internet dan menipu para korban yang bekerja di kedutaan asing yang beroperasi di Moskow untuk memasang perangkat lunak berbahaya kelompok di PC mereka. Spyware itu kemudian menonaktifkan enkripsi pada mesin target -target itu sehingga data yang mereka kirimkan di internet tetap tidak terenkripsi, meninggalkan komunikasi dan kredensial mereka seperti nama pengguna dan kata sandi yang sepenuhnya rentan terhadap pengawasan oleh ISP yang sama – dan agen pengawasan negara bagian yang mereka kerjuni.
Sherrod DeGrippo, direktur strategi Ancaman Intelijen Microsoft, mengatakan teknik ini merupakan perpaduan yang jarang dari peretasan yang ditargetkan untuk spionase dan pendekatan yang lebih tua dan lebih pasif untuk pengawasan massal, di mana agensi mata -mata mengumpulkan dan menyaring data ISP dan telekomunikasi untuk mengawasi target. “Ini mengaburkan batas antara pengawasan pasif dan intrusi aktual,” kata Degrippo.
Untuk kelompok peretas FSB khusus ini, Degrippo menambahkan, ini juga menyarankan senjata baru yang kuat di gudang senjata mereka untuk menargetkan siapa pun di dalam perbatasan Rusia. “Ini berpotensi menunjukkan bagaimana mereka berpikir tentang infrastruktur telekomunikasi yang berbasis di Rusia sebagai bagian dari alat alat mereka,” katanya.
Menurut para peneliti Microsoft, teknik Turla mengeksploitasi browser permintaan web tertentu ketika mereka menemukan “portal captive,” jendela yang paling umum digunakan untuk menjaga akses internet gerbang di pengaturan seperti bandara, pesawat terbang, atau kafe, tetapi juga di dalam beberapa perusahaan dan lembaga pemerintah. Di Windows, portal captive itu menjangkau situs web Microsoft tertentu untuk memeriksa bahwa komputer pengguna sebenarnya online. ;
Dengan memanfaatkan kendali ISP yang menghubungkan staf kedutaan asing tertentu ke Internet, Turla dapat mengarahkan target sehingga mereka melihat pesan kesalahan yang mendorong mereka untuk mengunduh pembaruan ke sertifikat kriptografi browser mereka sebelum mereka dapat mengakses web. Ketika pengguna yang tidak curiga setuju, mereka malah menginstal sepotong malware yang disebut Microsoft Apolloshadow, yang disamarkan – sesuatu yang tidak dapat dijelaskan – sebagai pembaruan keamanan Kaspersky.
Malware apolloshadow itu pada dasarnya akan menonaktifkan enkripsi browser, diam -diam melucuti perlindungan kriptografi untuk semua data web yang ditransmisikan dan diterima komputer. Kerusakan sertifikat yang relatif sederhana itu kemungkinan dimaksudkan lebih sulit untuk dideteksi daripada sepotong spyware berfitur lengkap, kata DeGrippo, sambil mencapai hasil yang sama.
“Ini adalah pendekatan yang kreatif: ‘Bagaimana jika kita baru saja mendapatkan ISP yang mereka hubungkan dan gunakan kontrol itu untuk mematikan enkripsi?’” Katanya, menggambarkan apa yang dia yakini sebagai pemikiran Turla. “Jalur ini memberi mereka sejumlah besar lalu lintas plaintext yang kemungkinan dapat digunakan untuk tujuan spionase, karena itu berasal dari individu dan organisasi yang sangat sensitif seperti kedutaan besar dan misi diplomatik.”
Rincian bagaimana teknik pengalihan berbasis ISP Turla bekerja tetap jauh dari jelas. Tetapi Microsoft menulis dalam laporannya bahwa ia kemungkinan menggunakan Sistem Sorm Kremlin Untuk intersepsi dan pengawasan komunikasi berbasis ISP dan telekomunikasi, sistem yang berusia puluhan tahun yang awalnya diciptakan oleh FSB dan sekarang banyak digunakan dalam intelijen domestik Rusia dan penegakan hukum.
Microsoft menolak berkomentar tentang kedutaan negara mana di Moskow yang ditargetkan dalam kampanye atau berapa banyak yang ada, meskipun DeGrippo mencatat bahwa Microsoft memperingatkan para korban yang diidentifikasi. Penggunaan perangkat lunak Kaspersky Turla sebagai penutup untuk teknik instalasi malware menunjukkan bahwa kedutaan AS mungkin bukan target, mengingat bahwa perangkat lunak Kaspersky adalah Dilarang di Sistem Pemerintah AS. Microsoft menolak berkomentar apakah kedutaan AS ditargetkan.
Microsoft tidak mengatakan bagaimana hal itu mengaitkan kampanye peretasan dengan Turla secara khusus-pendekatan khas yang berbibir ketat dari tim keamanan perusahaan, yang sering menolak untuk membocorkan sumber dan metodenya untuk menghindari membantu peretas menghindari deteksi. “Ini adalah aktor ancaman yang telah kami tonton dengan cermat untuk waktu yang sangat lama,” kata DeGrippo.
Tur memiliki a Reputasi berumur beberapa dekade untuk berinovasi metode peretasandari cacing berbasis USB yang dirancang untuk menembus sistem udara-gapped hingga piggybacking di botnet penjahat cyber-dan Apolloshadow kemungkinan bukan pertama kalinya kelompok ini membajak ISP untuk menanam malware. Perusahaan keamanan siber Slovakia ESET telah menunjuk pada apa yang mungkin merupakan teknik serupa yang biasa digunakan menginfeksi korban dengan installer flash palsu. Perusahaan yang sama juga memiliki mendokumentasikan apa yang diyakini kemungkinan adalah trik yang serupa kemungkinan digunakan oleh peretas KGB Belarusia, dan bagaimana Firma Spyware Komersial kemungkinan diinstal pada perangkat target menggunakan akses tingkat ISP yang sama. Tetapi kampanye terbaru Turla akan mewakili pertama kalinya bahwa infeksi berbasis ISP telah digunakan untuk menonaktifkan enkripsi pada komputer target, bentuk spionase yang berpotensi lebih cepat.
Degrippo Microsoft mencatat bahwa teknik Turla sebagian efektif karena tidak memanfaatkan kerentanan perangkat lunak tertentu, sehingga tidak dapat ditambal. “Itu tidak memanfaatkan nol-hari atau kerentanan lainnya,” kata DeGrippo. “Ini tentang masuk ke infrastruktur jaringan yang digunakan target dan mengendalikan barang -barang dari sana.”
Yang mengatakan, ada pertahanan yang direkomendasikan Microsoft untuk potensi korban dari gaya Turla dari teknik spionase berbasis ISP: gunakan VPN, misalnya, untuk melindungi lalu lintas internet Anda dari penyedia layanan internet Anda, atau bahkan koneksi satelit untuk memotong ISP yang tidak dapat dipercaya sama sekali. Otentikasi multifaktorjuga, dapat membatasi akses peretas bahkan ketika mereka telah berhasil mencuri nama pengguna dan kata sandi korban.
Degrippo berpendapat bahwa penggunaan Turla atas teknik untuk mata -mata domestik di dalam Rusia harus berfungsi sebagai peringatan bagi siapa pun yang bepergian, tinggal, atau bekerja di negara yang memiliki infrastruktur komunikasi yang tidak dipercaya. Peretasan tingkat ISP yang serupa, ia mencatat, dapat dengan mudah diadopsi oleh kelompok cyberpionage lain di seluruh dunia dan menggunakan di mana saja internet nasional dan infrastruktur telekomunikasi berpotensi membungkuk dengan kehendak lembaga intelijen negara itu.
“Jika Anda menjadi sasaran minat yang bepergian atau bekerja di negara-negara yang memiliki ISP yang selaras dengan negara ini yang mungkin memiliki kekuatan pengawasan atau kemampuan mencegat yang sah,” kata DeGrippo, “Anda perlu khawatir dengan ini.”
