Bản đồ mục tiêu của nhóm Turla (Nguồn: Kaspersky)

Hãng bảo mật Kaspersky ngày 10/9 phát thông báo cho biết, trong khi điều tra về nhóm gián điệp mạng khét tiếng Turla, các nhà nghiên cứu đã phát hiện nhóm này sử dụng điểm yếu bảo mật của mạng vệ tinh toàn cầu để hoạt động ẩn danh.

Turla là nhóm gián điệp mạng tinh vi đã hoạt động được hơn 8 năm, đã gây lây nhiễm máy tính t​ại hơn 45 quốc gia ​trong đó có Việt Nam, Kazakhstan, Nga, Trung Quốc và Mỹ.

Các đối tượng bị Turla nhắm tới gồm các tổ chức Chính phủ, lãnh sự quán, quân đội, giáo dục, nghiên cứu và công ty dược phẩm.

Vào giai đoạn đầu tiên, nhóm này tiến hành thu thập thông tin nạn nhân. Đối với các mục tiêu cấp cao, tin tặc sử dụng cơ chế liên lạc mở rộng bằng vệ tinh vào các giai đoạn sau của cuộc tấn công nhằm xóa đi dấu vết.

Theo Kaspersky, vệ tinh viễn thông phần lớn được biết đến như công cụ để phát sóng truyền hình và thông tin liên lạc an toàn, cũng được dùng để kết nối mạng Internet.

Những dịch vụ này được sử dụng chủ yếu ở những địa điểm xa có kết nối Internet chậm và không ổn định hoặc chưa có. Một trong những loại kết nối Internet sử dụng vệ tinh phổ biến và rẻ nhất là kết nối chỉ tải xuống.

Trong trường hợp này, yêu cầu được gửi đi từ máy tính người dùng đến vệ tinh bằng cách thông thường (kết nối dây hoặc GPRS). Công nghệ này cho phép tốc độ tải xuống khá nhanh nhưng có một nhược điểm là tất cả lưu lượng tải xuống máy tính không được mã hóa.

Bất kì người dùng giả mạo nào với thiết bị và phần mềm đơn giản cũng có thể ngăn chặn sự lưu thông và truy cập vào tất cả dữ liệu người dùng đang tải xuống.

Nhóm gián điệp Turla lợi dụng nhược điểm này theo một cách khác, đó là sử dụng để giấu vị trí máy chủ điều khiển theo lệnh (C&C), một trong những phần quan trọng nhất của hệ thống độc hại. Bởi lẽ, phát hiện vị trí của loại máy chủ này giúp mở ra nhiều thông tin về kẻ đứng sau.

Ông Stefan Tanase, nhà nghiên cứu an ninh cấp cao của Kaspersky Lab cho biết đã từng thấy ít nhất 3 cái tên sử dụng liên kết Internet vệ tinh để che giấu hoạt động. Trong số này, cách mà nhóm gián điệp Turla sử dụng là khác thường, có thể đạt đến cấp độ nặc danh cao nhất bằng cách khai thác công nghệ được sử dụng rộng rãi: Internet vệ tinh một chiều.

“Với cách này, tin tặc có thể ở khắp mọi nơi trong vùng vệ tinh được chọn, ở khu vực mà có thể mở rộng ra hàng ngàn km2. Điều này khiến việc lần theo dấu vết chúng là không thể. Khi phương pháp này trở nên phổ biến hơn, việc quản trị viên triển khai các chiến lược phòng thủ đúng đắn để giảm thiểu các cuộc tấn công như vậy là rất cần thiết,” ông Stefan Tanase chốt lại./.