Hacker operieren getarnt über Satelliten-Internet
Mit einer vergleichsweise einfachen Methode zapft eine Hacker-Gruppe die von Satelliten bereitgestellte Internetverbindung für ihre Zwecke an und verwischt so ihre Spuren.
Die Hacker-Gruppe Turla klinkt sich in Internet-Verbindungen von Satelliten ein, um auf diesem Weg anonym ihre Botnetze zu verwalten. Damit wollen sie das Katz-und-Maus-Spiel mit Gesetzeshütern und Internetanbietern vermeiden, die ihre Spuren verfolgen und Command-and-Control-Server offline nehmen, erläutert Kaspersky in seinem Blog.
Den Sicherheitsforschern zufolge gibt es schon seit 2007 Hacker, die das Satelliten-Internet für ihre Zwecke gebrauchen. Der größte Vorteil sei dabei, dass Ermittler es schwer haben, die Hacker zurückzuverfolgen. Denn die Areale die ein Satellit abdeckt sind sehr groß und die Command-and-Control-Server dementsprechend schwer zu lokalisieren.
Verbindungen kapern
In der Vergangenheit haben sich Hacker Kaspersky zufolge etwa über Man-in-the-Middle-Attacken in Verbindungen eingeklinkt oder den legalen Weg über einen Anbieter gewählt. Turla setze auf eine neue Methode und steigt direkt bei der DVB-S-Verbindung ein.
Dabei sollen die Hacker auf eine Sat-Empfangskarte für Computer, ein LNB, eine Satellitenschüssel und einen PC mit Linux setzen. Die DVB-S-Karte muss den Forschern zufolge zwingend die Blindscan-Funktion unterstützen, um komplette Frequenzbänder durchsuchen zu können.
Turla konzentriere sich bei der Suche auf Satelliten, die ausschließlich einen Downstream anbieten. Denn die Verbindungen seien nicht verschlüsselt und sollen sich leicht kapern lassen. Zeigt die Schüssel auf einen entsprechenden Satelliten, fangen die Hacker Datenpakete von legitimen Nutzern ab, erläutern die Forscher.
Daten sicher abziehen
Schneiden die Hacker ein TCP/IP-SYN-Paket mit, antworten sie mit einem SYN/ACK-Paket über eine konventionelle Internetverbindung. Trifft dieses auf einen geschlossenen Port, kann normalerweise keine Verbindung aufgebaut werden. Beim Satelliten-Internet soll in vielen Fällen eine Firewall derartige Pakete verwerfen. Das öffne die Möglichkeit eines Einstiegs schreibt Kaspersky, ohne genauer darauf einzugehen.
Haben die Hacker eine Verbindung gekapert, missbrauchen sie diese, um Daten, wie etwa Passwörter, von mit ihrer Malware infizierten Computern an ihre Command-and-Control-Server zu schicken.
[UPDATE, 11.09.2015 14:00 Uhr]
Beschreibung der Hacker-Gruppe angepasst. (des)
