Bí ẩn về nhóm tin tặc lẩn trốn trên không trung

Turla là nhóm gián điệp mạng tinh vi đã hoạt động được hơn 8 năm và đã lây nhiễm hàng trăm máy tính trên hơn 45 quốc gia bao gồm Kazakhstan, Nga, Trung Quốc, Việt Nam và Hoa Kỳ. Các tổ chức bị ảnh hưởng bao gồm chính phủ và lãnh sự quán cũng như quân đội, giáo dục, nghiên cứu và công ty dược phẩm. 

Vệ tinh viễn thông phần lớn được biết đến như công cụ để phát sóng truyền hình và thông tin liên lạc an toàn, cũng được dùng để kết nối mạng Internet. Những dịch vụ này được sử dụng chủ yếu ở những địa điểm xa có kết nối Internet chậm và không ổn định, hoặc chưa có. Một trong những loại kết nối Internet sử dụng vệ tinh phổ biến và rẻ nhất là kết nối chỉ tải xuống. (Downstream connection).

Trong trường hợp này, yêu cầu được gửi đi từ máy tính người dùng đến vệ tinh bằng cách thông thường (kết nối dây hoặc GPRS). Công nghệ này cho phép người dùng nhận tốc độc tải xuống khá nhanh. Tuy nhiên, nó có một nhược điểm lớn: tất cả lưu lượng tải xuống máy tính không được mã hóa. 

Nhóm gián điệp Turla lợi dụng nhược điểm này theo một cách khác: sử dụng nó để giấu vị trí máy chủ điều khiển theo lệnh (C&C), một trong những phần quan trọng nhất của hệ thống độc hại. Máy chủ C&C là “nhà” cho phần mềm độc hại được triển khai trên máy tính mục tiêu. 

Chùm vệ tinh được các nhà khai thác sử dụng ở những nước này thường không bao gồm vùng lãnh thổ châu Âu và Bắc Mỹ, làm cho việc điều tra các cuộc tấn công như vậy rất khó khăn đối với hầu hết các nhà nghiên cứu bảo mật.

Stefan Tanase, Nhà Nghiên cứu an ninh cấp cao, Kaspersky Lab cho biết: “Trước đây, chúng tôi đã từng thấy ít nhất 3 cái tên sử dụng liên kết Internet sử dụng vệ tinh để che giấu hoạt động. Trong số này, cách mà nhóm gián điệp Turla sử dụng là khác thường và thú vị nhất. Điều này khiến việc lần theo dấu vết chúng là không thể”.

Đọc thêm