Stefan Tanase a kutatás eredményeit ismertető cikkben felhívja a figyelmet arra, hogy a folyamatos fenyegetést jelentő támadások (advanced persistent threat – APT) mögött álló hackerek számára az egyik legkomolyabb megoldandó probléma, hogy a támadásokat menedzselő irányító szervereket (command-and-control servers – C&C) valahogy el kell rejteni, meg kell védeni, mivel a hatóságok és a szolgáltatók ezekre vadásznak elsősorban.

Erre a nem könnyű feladatra több hackercsoport is azonos megoldást talált: a műholdas net speciális használatát. Tanase a legérdekesebb változatot, a Turla nevű csoportét mutatja be elemzésében.

Az általuk használt rootkitről Snake vagy Uroburos néven is ismert kiberkémkedési csoport a Kaspersky adatai szerint már nyolc éve aktív, sok száz (kormányzati, intézményi, nagykövetségi, kutatóintézeti stb.) számítógépet fertőztek meg több mint 45 országban.

A módszerük viszonylag egyszerű és olcsó. Az egyik legelterjedtebb műholdas internetkapcsolat alacsony költségei miatt az úgynevezett „downstream-only”, melynél nem alkalmaznak adattitkosítást, és a Turla hackerei ezt használják ki. Először elkezdik figyelni a downstream adatáramlást, hogy azonosítsák a felhasználók IP-címeit.

[+]

Ezeket az IP-ket használják fel arra, hogy mögéjük bújtassák a C&C szervereiket: a kompromittált linkeken átvezetik az adatforgalmukat, káros tevékenységüket, így sokkal nehezebb, szinte lehetetlen azonosítani a szervereket. Olyan portokat használnak az adattovábbításra, melyek a megfertőzött gépeken alapértelmezésben le vannak zárva, így a felhasználó gépe a downstream kapcsolatok beállításai miatt egyszerűen eldobja ezeket a csomagokat, míg az irányító szerver sikeresen feldolgozza őket.

[+]

A módszernek megvan ugyan az a hátránya, hogy a műholdas kapcsolat lassú és gyakran instabil, ám az elrejtőzés miatt megéri a támadóknak. Elsősorban közel-keleti és afrikai linkeket vettek célba, ezeket használják ki.

A technikai részletek leírása Tanase cikkében megtalálható.