09 febbraio 2016

Kaspersky Lab: gli hacker russi e brasiliani all'attacco dei satelliti utilizzati da navi e aerei.

Kaspersky Lab, azienda russa specializzata in tecnologie e servizi di sicurezza informatica, rivela l'esistenza di un vero e proprio network commerciale, basato in Brasile, che dal 2005 diffonde clandestinamente il software ("toolkit") necessario per condurre campagne di cyber-attacco e spionaggio industriale contro le aziende. Il malware di Poseidon, questo il nome dell'organizzazione, è in grado di accedere ai canali di comunicazione molto diversificati, inclusi i satelliti professionali utilizzati per il supporto alla navigazione in mare. Purtroppo le vulnerabilità dei link satellitari di infrastrutture come Iridium o Inmarsat sono note da tempo. Nel 2014 la società IOActive aveva distribuito un dettagliato whitepaper che spiega i punti deboli delle cosiddette "satcom". Nel caso dei servizi marittimi i rischi sono concreti, le navi potenzialmente possono subire cyberattacchi molto gravi e i pericoli non riguardano solo i canali di comunicazione ma anche i dispositivi di navigazione e comunicazione di bordo, che il malware trasforma in centri di comando e controllo di altri attacchi.
Sul suo blog Securlist e il canale business.kaspersky.com, Kaspersky fornisce qualche spiegazione sugli attacchi per il "dirottamento" dei link satellitari:


During a particular campaign, conventional Poseidon samples were directed to IPs resolving to satellite uplinks. The networks abused were designed for internet communications with ships at sea which span a greater geographical area at nearly global scale, while providing nearly no security for their downlinks.

Queste tecniche, aggiunge Kaspersky, sono le stesse studiate analizzando le imprese degli hacker russi del gruppo Turla:

Kaspersky Lab experts reveals  that they’re achieving this using a trick known as satlink hijacking – a technique this Russian-speaking group has been using since 2007.  It involves exploiting the vulnerability of asynchronous satellite internet connections to sniff traffic, distilling the IP addresses of satellite subscribers. All the attackers need then is to set up their servers with the same IPs, configure these addresses into their malware and, after a successful infection, wait for its call for C&C.
What happens next: the satellite broadcasts the request from an infected machine over the whole area of its coverage. Of course, both attackers and law-abiding subscribers receive this request. But, unlike the attackers’ servers, subscriber systems are extremely unlikely to host any services on particular ports – and this traffic is simply dropped without acknowledgement, as this would increase the burden on the thin cellular upstream channel used in such asynchronous data links. After receiving the malware call, the C&C answers via regular fast landline with a spoofed acknowledgement, which appears to be coming from the same hapless satlink subscriber.

Nessun commento: