卡巴斯基實(shí)驗(yàn)室在調(diào)查臭名昭著的俄語(yǔ)網(wǎng)絡(luò)間諜組織Turla時(shí)，發(fā)現(xiàn)該組織利用全球衛(wèi)星網(wǎng)絡(luò)中的安全漏洞實(shí)現(xiàn)匿名性，隱藏其攻擊行為和地理位置不被發(fā)現(xiàn)。Turla是一個(gè)復(fù)雜的網(wǎng)絡(luò)間諜組織，其活躍時(shí)間已經(jīng)超過(guò)八年。Turla幕后的攻擊者在全球超過(guò)45個(gè)國(guó)家感染了數(shù)以萬(wàn)計(jì)的計(jì)算機(jī)，其中包括哈薩克斯坦、俄羅斯、中國(guó)、越南和美國(guó)。目前，卡巴斯基實(shí)驗(yàn)室的個(gè)人與企業(yè)版產(chǎn)品均能成功檢測(cè)和攔截Turla攻擊組織所使用的惡意軟件，并已將其檢測(cè)為：Backdoor.Win32.Turla.*、Rootkit.Win32.Turla.*、HEUR:Trojan.Win32.Epiccosplay.gen和HEUR:Trojan.Win32.Generic。

　　據(jù)了解，受Turla網(wǎng)絡(luò)間諜組織影響的組織類(lèi)型包括政府機(jī)構(gòu)和大使館以及軍事、教育、研究和制藥公司等。在攻擊初始階段，Epic后門(mén)程序會(huì)對(duì)受害者進(jìn)行分析。只有針對(duì)最為重要的目標(biāo)，攻擊者才會(huì)使用基于衛(wèi)星的通訊機(jī)制用于進(jìn)行后期攻擊，這種通訊方式有助于他們隱藏自身蹤跡。

　　衛(wèi)星通信主要被用作電視廣播以及安全通訊，但是，其同樣可用于提供互聯(lián)網(wǎng)訪問(wèn)。這種服務(wù)主要用于偏遠(yuǎn)地區(qū)，因?yàn)檫@些地區(qū)的互聯(lián)網(wǎng)接入不穩(wěn)定、較慢或根本沒(méi)有相關(guān)服務(wù)。其中，使用最為廣泛，費(fèi)用最為低廉的基于衛(wèi)星的互聯(lián)網(wǎng)接入服務(wù)是一種被稱(chēng)為下行連接。

　　在這種情況下，來(lái)自用戶計(jì)算機(jī)的出站請(qǐng)求通過(guò)傳統(tǒng)線路(有限連接或GPRS連接)進(jìn)行通訊，而入站通訊則來(lái)自衛(wèi)星。這種技術(shù)能夠讓用戶獲得相對(duì)較快的下載速度。但是，它有一個(gè)很大的缺點(diǎn)：所有返回到計(jì)算機(jī)的下行通訊是未加密的。惡意用戶可以使用并不昂貴的設(shè)備和軟件，輕松攔截用戶通訊，訪問(wèn)到用戶下載的所有鏈接和數(shù)據(jù)信息。

　　Turla網(wǎng)絡(luò)間諜組織的不同之處在于其利用了該技術(shù)中的漏洞：他們使用這種技術(shù)，隱藏其命令和控制服務(wù)器(C&C)的位置，而命令和控制服務(wù)器是惡意基礎(chǔ)設(shè)施最重要的一個(gè)部分之一。命令和控制服務(wù)器是部署在被攻擊計(jì)算機(jī)上的惡意軟件的“大本營(yíng)”。如果找到這些服務(wù)器的位置，就能夠揭開(kāi)攻擊行動(dòng)幕后的攻擊組織詳情。Turla網(wǎng)絡(luò)間諜組織采用以下手段避免這種風(fēng)險(xiǎn)：

　　1. 間諜組織首先“監(jiān)聽(tīng)”來(lái)自衛(wèi)星的下行流量，確認(rèn)當(dāng)時(shí)正在線使用基于衛(wèi)星的互聯(lián)網(wǎng)服務(wù)用戶的活躍IP地址。

　　2. 他們會(huì)選擇一個(gè)在線IP地址，用來(lái)掩蓋命令和控制服務(wù)器，而合法用戶根本不會(huì)察覺(jué)。

　　3. 受Turla感染的計(jì)算機(jī)會(huì)收到指令，將竊取到的數(shù)據(jù)發(fā)送到使用基于衛(wèi)星的互聯(lián)網(wǎng)用戶的IP地址。數(shù)據(jù)通過(guò)傳統(tǒng)線路發(fā)送到衛(wèi)星互聯(lián)網(wǎng)服務(wù)商的遠(yuǎn)程端口，之后被發(fā)送到衛(wèi)星，最后從衛(wèi)星發(fā)送到被選定的用戶IP地址。

　　有趣的是，攻擊者使用合法用戶的IP地址接收來(lái)自受感染計(jì)算機(jī)的數(shù)據(jù)，這些合法用戶同樣會(huì)受到這些數(shù)據(jù)包，但很少會(huì)注意到這些數(shù)據(jù)包。這是因?yàn)門(mén)urla攻擊者控制受感染計(jì)算機(jī)將數(shù)據(jù)發(fā)送到那些通常默認(rèn)關(guān)閉的端口，所以合法用戶的計(jì)算機(jī)會(huì)丟棄這些數(shù)據(jù)包。而Turla命令和控制服務(wù)器則開(kāi)放這些端口，能夠收到和處理這些竊取到的數(shù)據(jù)。

　　Turla攻擊者所采取的策略還有一個(gè)特別之處，即他們會(huì)優(yōu)先使用位于中東和非洲國(guó)家的衛(wèi)星互聯(lián)網(wǎng)連接服務(wù)商。根據(jù)研究，卡巴斯基實(shí)驗(yàn)室專(zhuān)家發(fā)現(xiàn)Turla組織使用了位于剛果、黎巴嫩、利比亞、尼日爾、尼日利亞、索馬里以及阿聯(lián)酋等國(guó)家的衛(wèi)星服務(wù)提供商的IP。

　　這些國(guó)家的衛(wèi)星互聯(lián)網(wǎng)服務(wù)提供商所使用的衛(wèi)星波束通常不會(huì)覆蓋歐洲和北美區(qū)域，這使得大多數(shù)安全研究人員很難對(duì)這些攻擊進(jìn)行調(diào)查。

　　在談及這一重大發(fā)現(xiàn)時(shí)，卡巴斯基實(shí)驗(yàn)室資深安全研究員Stefan Tanase表示：“過(guò)去，我們至少發(fā)現(xiàn)有三個(gè)不同的攻擊組織會(huì)使用基于衛(wèi)星的互聯(lián)網(wǎng)連接隱藏自身的攻擊行動(dòng)。其中，Turla網(wǎng)絡(luò)間諜組織所開(kāi)發(fā)的手段最為有趣和非比尋常。通過(guò)利用這種應(yīng)用廣泛的單向衛(wèi)星互聯(lián)網(wǎng)技術(shù)，他們可以實(shí)現(xiàn)高度匿名性。攻擊者可以在選定衛(wèi)星的覆蓋范圍內(nèi)任何地方，這一面積可超過(guò)數(shù)千平方千米。這使得追蹤攻擊者幾乎不可能。隨著這種手段的使用變得更為普及，要求系統(tǒng)管理員需要部署正確的防御策略，抵御這種攻擊，這一點(diǎn)非常重要?！?/p>