![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
waqurArsTechnica пишет об интересном случае маскировки C&C (command and control) сервера вредоносного ПО (такого как вирусы-вымогатели). Обычно для таких вещей хакеры используют чужие взломанные серверы, и в конечном итоге попадаются, но в этот раз всё интереснее.
Сервер подключён к несимметричному спутниковому интернету (дешёвая односторонняя связь, только downlink) и прослушивает одновременно все частоты диапазона KuBand с помощью PCI-E платы со специальными драйверами для Linux. Такой себе односторонний promiscuous mode на спутнике. Раньше это называлось "спутниковая рыбалка". Провайдер спутникового интернета отображает на этот линк все IP-адреса из выделенного ему диапазона (и чтоб было совсем дёшево, не применяет VPN). Клиентская часть вредоноса шлёт зашифрованный пакет с полезной нагрузкой, предназначенный C&C серверу, на случайный IP-адрес из диапазона, и, насколько я понимаю, на случайный UDP-порт. Далее пакет (например содержащий приватную часть RSA-ключа экземпляра вируса-шифровальщика, зашифрованную публичным RSA-ключом C&C-сервера) вылавливается C&C-сервером из общего потока в порядке рыбалки. Обратная связь не требуется.
https://arstechnica.com/security/2015/09/how-highly-advanced-hackers-abused-satellites-to-stay-under-the-radar/
Где физически находится C&C-сервер в пределах покрытия спутника (круга радиусом 1000 километров) — правоохранители не могут выяснить до сих пор. Очевидно, не нужно иметь назначенный IP-адрес из этого диапазона (или даже быть клиентом оператора спутникового интернета), чтобы исполнять такие вещи.
Сервер подключён к несимметричному спутниковому интернету (дешёвая односторонняя связь, только downlink) и прослушивает одновременно все частоты диапазона KuBand с помощью PCI-E платы со специальными драйверами для Linux. Такой себе односторонний promiscuous mode на спутнике. Раньше это называлось "спутниковая рыбалка". Провайдер спутникового интернета отображает на этот линк все IP-адреса из выделенного ему диапазона (и чтоб было совсем дёшево, не применяет VPN). Клиентская часть вредоноса шлёт зашифрованный пакет с полезной нагрузкой, предназначенный C&C серверу, на случайный IP-адрес из диапазона, и, насколько я понимаю, на случайный UDP-порт. Далее пакет (например содержащий приватную часть RSA-ключа экземпляра вируса-шифровальщика, зашифрованную публичным RSA-ключом C&C-сервера) вылавливается C&C-сервером из общего потока в порядке рыбалки. Обратная связь не требуется.
https://arstechnica.com/security/2015/09/how-highly-advanced-hackers-abused-satellites-to-stay-under-the-radar/
Где физически находится C&C-сервер в пределах покрытия спутника (круга радиусом 1000 километров) — правоохранители не могут выяснить до сих пор. Очевидно, не нужно иметь назначенный IP-адрес из этого диапазона (или даже быть клиентом оператора спутникового интернета), чтобы исполнять такие вещи.
