Russisch sprekende hackers gebruiken commerciële satellieten om malwareaanvallen op westerse militaire en overheidsnetwerken te maskeren in een escalatie waarbij beveiligingspersoneel op hoog niveau zich zorgen maakt.

Een rapport van Kaspersky Lab beweert dat de groep achter de Ouroboros-malware (ook bekend als Snake of Turla) commerciële satellieten heeft gebruikt om toegang te krijgen tot verborgen ontvangststations in Afrika en het Midden-Oosten

Satellieten zijn een favoriet front geweest voor cyberaanvallen op militaire en overheidsnetwerken in het Westen omdat ze de locatie maskeren van de commando- en control-servers die hackers gebruiken om instructies te geven aan malware op geïnfecteerde systemen.

Het maakt gebruik van het feit dat de meeste communicatie die stroomafwaarts van satellieten naar de aarde wordt verzonden, niet-versleuteld is en daarom kwetsbaar is voor spoofing. Hoewel er een aantal verdere stappen zijn betrokken, heeft de escalatie van deze methode leden van de betrokken beveiligingsgemeenschap.

"Wij in beveiliging worden er altijd van beschuldigd FUD te verspreiden, maar dit is de realiteit van de verbonden wereld waarin we leven." zei TK Keanini, CTO bij Lancope, een bedrijf dat gespecialiseerd is in flow analytics voor beveiliging en monitoring van netwerkprestaties. "Dit zijn getalenteerde, goed gefinancierde bedreigingsacteurs wier taak het is om het nieuws niet te maken, dus als ze dat doen, beschouw ze als de slordige."

Het is ook ongelooflijk moeilijk om dit soort aanvallen te traceren, omdat het pad vaak snel sterft en proberen om het volledig te stoppen ook ongelofelijk lastig blijkt te zijn.

Slechts één manier om het te stoppen

"Het gebruik van een gekloonde modem maakt het voor ISP's moeilijker om het verkeer te blokkeren, omdat dit van invloed zou zijn op legitieme gebruikers", voegt Ian Pratt, CEO en mede-oprichter, Bromium, een bedrijf voor eindpuntbeveiliging en beveiliging toe. "De onverlaten kunnen eenvoudig overschakelen naar het klonen van een apparaat van een andere legitieme gebruiker."

"Sterke authenticatie van toegangsmodems met een unieke sleutel voor elk apparaat is de enige manier om dit soort aanvallen te blokkeren, maar kan alleen realistisch worden uitgevoerd voor nieuwe implementaties," zei hij.

Met overheidsorganisaties, ambassades en bedrijven in Rusland, China en een dozijn andere landen, plus onderzoeksgroepen en medische bedrijven, is de veiligheidsgemeenschap terecht bezorgd over deze manier van verspreiden van malware.

  • Flash, malware en ransomware toplijst met online bedreigingen