• 發布單位:TWCERT/CC
• 更新日期:2019-03-22
• 點閱次數:842

1. 與俄羅斯政府的駭客團體利用漏洞，以銜尾蛇病毒入侵商業衛星通訊來傳送指令。
2. 該攻擊手法難以被追蹤到原始攻擊者位置，是任何駭客團體隱藏他們原始位置的最高級匿名方法。 他們是世界上最複雜的駭客團體之一，並與俄羅斯政府有關聯，他們因為利用漏洞入侵商業衛星通訊而被告，而方法是利用隱藏在非洲跟中東的接收站來掩蓋對於西方軍隊和政府網路的攻擊。

該團體使用「銜尾蛇(Ouroboros)」病毒進行攻擊，該病毒也以「蛇(Snake)」和「Turla」的名稱聞名，去年該病毒對烏克蘭發起了大規模的攻擊行為，同時也在近十年內攻擊其他歐洲和美國政府組織。

卡巴斯基在2014年首先開始研究銜尾蛇相關活動，他們在禮拜三釋出的報告中指出，這次攻擊是一項新的「精緻」攻擊，而發起攻擊的團體仍難以追蹤。

他們利用空間通訊來掩蓋和命令與控制伺服器間的連線，這些伺服器會管理被感染的系統。

駭客需要持續與被入侵的機器進行連線以下達指令，這可以讓網路防禦者辨識出這種攻擊並找出攻擊來源。

卡巴斯基的高級研究員Stefan Tanase指出：「這種方式讓找出這些命令與控制伺服器的實體位置是幾乎不可能的事，我能說，這是任何駭客團體隱藏他們原始位置的最高級匿名方法。」
銜尾蛇造成的攻擊揭露了一項事實，多數與地球間傳送訊息的商業衛星通訊是沒有加密的，而且也可能被利用。

根據卡巴斯基指出，攻擊包含了以下數個步驟：
首先，銜尾蛇病毒傳送一個指令，該指令原本應該要直接傳送給命令與控制伺服器，但如此一來就會被追蹤到，因此銜尾蛇將指令先傳送到一個不知情的誘餌伺服器，該伺服器被選中的原因是因為駭客判斷他是一個衛星通訊使用者。

銜尾蛇傳送的請求將會自動經由商業衛星轉送並發射至地球上的誘餌位置。

只要誘餌伺服器接收了包含指令的請求，他會忽視它，因為該請求對他來說是無意義的。

但是衛星會將該請求發射至很大面積的地理位置，一個由銜尾蛇操作者所藏匿在這個地區這一地方的接受器就可以接收到未加密的請求，該接受器接著處理傳回銜尾蛇的回應，並偽裝成由誘餌索回傳的通訊。
任何試圖追蹤來自銜尾蛇並傳回控制者通訊的防禦者，將會在資料轉為發射至地球的信號時失去追蹤，他很有效率的不使用任何直接的數位連線。

卡巴斯基的報導指出，銜尾蛇的控制者似乎偏好選中中東及非洲的衛星操作者作為誘餌，由於接收信號的範圍大小，地區的情報調查者可能要在數十到數千平方公里內找出銜尾蛇的接收者。

Tanase指出：「接收者並不需要花費太多資源就能找到一個物理位置，表示他們背後有某種類型的擴張邏輯支援網路存在。」並補充這種行為跟國家等級的情報服務有關。

西方資訊安全機關之前告訴過金融時報，他們相信銜尾蛇是由俄羅斯所操控，俄羅斯是該團體的真實操控者，同時在病毒的程式碼中也可以看到線索。
衛星操作者對於防止駭客經由他們的衛星網路傳送資訊是沒有辦法防止的，至少在這幾年內都是如此，專家表示有唯一一個可以防止這種攻擊的方法，就是對於衛星間的通訊進行加密，但這會需要全面的更新衛星設備。

參考連結： https://www.hackread.com/russian-hacked-satellites-kaspersky/